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Abstract of DE1 9822795 

The method involves forming a first value (g<t>) from a first random number (t) by using a producing 
element (g) of a finite group of elements, and a first message (M1 ), comprising at least the first value, is 
send by the first computer unit to a second computer unit (N). A session key (K) is formed in the second 
computer unit by using a first hash function (hi), whereby a first input quantity of the first hash function 
comprises at least one first term which is formed through an exponential function of the first value with a 
secret network key (s). The session being (IF) is also formed in a first computer unit (U), whereby a 
second input quantity of the first hash function comprises at least one second term which is formed 
through an exponential function of a public network key (g<n>s) with the first random number. A fourth 
input size is formed in the first computer unit by using a second hash function (h2) or the first hash 
function, whereby a third input size for the first hash function or the second hash function comprises one 
or further sizes for producing the fourth input size, from which the session key can be uniquely derived. A 
first signature function (SigU) is used in the first computer unit to form a signature term from, at least the 
fourth input size. A third message (M3) is send from the first computer unit to the second computer unit, 
which comprises at least the signature term of the first computer unit, whereby the signature term is 
verified in the second computer unit. 
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Verfahren zum rechnergestutzten Austausch kryptogra- 
phischer Schlussel zwischen einer ersten Computerein- 
heit (U) und einer zweiten Computereinheit (N), 

- bei dem aus einer ersten Zufallszahl (t) mit Hilfe eines 
erzeugenden Elements (g) einer endlichen Gruppe in der 
ersten Computereinheit (U) ein erster Wert (g ) gebildet 
wird, 

- bei dem eine erste Nachricht (M1) von der ersten Com- 
putereinheit {U) an die zweite Computereinheit (N) uber- 
tragen wird, wobei die ersten Nachricht (M1) mindestens 
den ersten Wert (g l ) aufweist, 

- bei dem in der zweiten Computereinheit (N) ein Sit- 
zungsschliissel (K) mit Hilfe einer ersten Hash-Funktion 
(hi) gebildet wird, wobei eine erste Eingangsgrofce der 
ersten Hash-Funktion (hi) mindestens einen ersten Term 
aufweist, der gebildet wird durch eine Exponentiation des 
ersten Werts (g*) mit einem geheimen Netzschlussel (s), 

- bei dem in der ersten Computereinheit (U) der Sit- 
zungsschlussel (K) gebildet wird mit Hilfe der ersten 
Hash-Funktion (hi), wobei eine zweite Eingangsgrofce der 
ersten Hash-Funktion (hi) mindestens einen zweiten 
Term aufweist, der gebildet wird durch eine Exponentiati- 
on eines offentlichen Netzschlussels (g s ) mit der ersten 
Zufallszahl (t), 

- bei dem in der ersten Computereinheit (U) mit Hilfe ei- 
ner zweiten Hash-Funktion (h2) oder der ersten Hash- 
Funktion (hi) eine vierte Eingangsgrofce gebildet wird, 
wobei eine dritte EingangsgroBe fur die erste Hash-Funk- 
tion (hi) oder fur die zweite Hash-Funktion (h2) zur Bil- 
dung der vierten EingangsgroBe eine oder weitere Gro- 
ften aufweist, aus denen auf den Sitzungsschlussel ein- 
deutig ruckgeschlossen werden kann. 

- bei dem in der ersten Computereinheit (U) ein Signatur- 
term aus mindestens der vierten Eingangsgrofce gebildet 
wird unter Anwendung einer ersten Signaturfunktion 
(Sigy), 

- bei dem eine dritte Nachricht (M3) von der ersten Com- 
putereinheit (U) an die zweite Computereinheit (N) uber- 
tragen wird, wobei die dritte Nachricht (M3) mindestens 
den Signaturterm der ersten Computereinheit (U) auf- 
weist, und 

- bei dem in der zweiten Computereinheit (N) der Signa- 
turterm verifiziert wird. 
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Beschreibung 

Die Hrfindung betrifft den rechnergestutztcn Austausch 
kryptographischer Schlussel zwischen einer ersten Compu- 
tereinheit und einer zweiten Computereinheit. 5 

Informalionstechnische Syslcme unterliegen verschiede- 
nen Bedrohungen. So kann z. B. iibertragene Information 
von einem unbefugtcn Dritten abgehort und vcrandert wer- 
den. Eine weitere Bedrohung bei der Kommunikation 
zweier Kommunikationspartner liegt in der Vorspiegelung 10 
einer falschen Identitat eines Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch verschie- 
dene Sicherheitsmechanismen, die das informationstechni- 
sche System vor den Bedrohungen schiitzen sollen, begeg- 
net. Ein zur Sicherung verwendeter Sicherheitsmechanis- 15 
mus ist die Verschliisselung der ubertragenen Daten. Damit 
die Daten in einer Kommunikationsbeziehung zwischen 
zwei Kommunikationspartnern verschlusselt werden kon- 
nen, miissen vor der Ubertragung der eigentiichen Daten zu- 
erst Schritte durchgefuhrt werden, die die Verschliisselung 20 
vorbereiten. Die Schritte konnen z. B. darin bestehen, daB 
sich die beiden Kommunikationspartner auf einen Ver- 
schliisselungsalgorithmus einigen und daB ggf. die gemein- 
samen geheimen Schlussel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmechanis- 25 
mus der Verschliisselung bei Mobilfunksystemen, da die 
ubertragenen Daten in diesen Systemen von jedem Dritten 
ohne besonderen zusatzlichen Aufwand abgehort werden 
konnen. 

Dies fuhrt zu der Anforderung, eine Auswahl bekannter 30 
Sicherheitsmechanismen so zu treffen und diese Sicher- 
heitsmechanismen geeignet zu kombinieren, sowie Kom- 
munikationsprotokolle zu spezifizieren, daB durch sie die 
Sicherheit von informationstechnischen Systemen gewahr- 
leistet wird. 35 

Es sind verschiedene asymmetrische Verfahren zum rech- 
nergestiitzen Austausch kryptographischer Schlussel be- 
kannt. 

Asymmetrische Verfahren, die geeignet sind fur Mobil- 
funksysteme, sind in [1], [2], [3] und [4] beschrieben. 40 

Das in [1] beschriebene Verfahren bezieht sich ausdriick- 
lich auf lokale Netzwerke und stellt hohere Rechenlei- 
stungsanforderungen an eine Computereinheit eines Kom- 
munikationspartners wahrend des Schlusselaustauschs. Au- 
Berdem wird in dem Verfahren mehr "Qbertragungskapazitat 45 
benotigt als bei dem erfindungsgemaBen Verfahren, da die 
Lange der Nachrichten groBer ist als bei der Erfindung, 

Das in [2] beschriebene Verfahren hat einige grundle- 
gende Sicherheitsziele nicht realisiert. Die explizite Authen- 
lifikation des Netzes durch den Benutzer wird nicht erreicht. 50 
AuBerdem wird ein vom Benutzer an das Netz ubertragener 
Schlussel vom Netz nicht an den Benutzer bestatigt. Auch 
eine Zusicherung der Frische (Aktualitat) des Schliissels fiir 
das Netz ist nicht vorgesehen. Ein weiterer Nachteil dieses 
Verfahrens besteht in der Beschrankung auf das Rabin- Ver- 55 
fahren bei der impliziten Authentifizierung des Schliissels 
durch den Benutzer. Dies schrankt das Verfahren in einer 
flexibleren Anwendbarkeit ein. AuBerdem ist kein Sicher- 
heitsmechanismus vorgesehen, der die Nichtabstreitbarkeit 
von ubertragenen Daten gewahrleistet. Dies ist ein erhebli- 60 
cher Nachteil vor allem auch bei der Erstellung unanfecht- 
barer Gebuhrenabrechnungen fur ein Mobilfunksystem. 
Auch die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 
(NIST DSS) als verwendele Signaturfunktion schrankt das 65 
Verfahren in seiner allgemeinen Verwendbarkeit ein. 

Das in [3] beschriebene Verfahren hat ein grundlegendes 
Sicherheitsziel nicht realisiert: Die explizite Authentifika- 
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tion des Benutzers durch das Netz wird nicht erreicht. 

Das in [4] beschriebene Verfahren basiert auf der An- 
nahme der Existenz von gemeinsamen geheimen Schliisscln 
sowohl zwischen Benutzer und besuchtem Netz als auch 
zwischen Benutzer und Heimatnetz vor Beginn eines Proto- 
kollaufs. Diese Annahme ist fur viele Einsatzfalle zu ein- 
schrankend. 

Ferner ist ein Verfahren zum sicheren Datenaustausch 
zwischen vielen Teilnehmem unter Mitwirkung einer Zerti- 
fizierungsinstanz aus [5] bekannt. Das bei diesem Verfahren 
verwendete Protokoll weist eine Zufallszahl, eine Identitats- 
angabe sowie einen offentlichen Schlussel und einen Sit- 
zungsschlussel auf. Grundlegende Sicherheitsziele werden 
jedoch bei diesem Verfahren nicht realisiert. 

Weiterhin ist ein Verfahren fur eine PC-PC-Kommunika- 
tion unter Mitwirkung eines Trust- Centers aus [6] bekannt. 

Aus [7] ist ein Verfahren bekannt, bei dem unter Verwen- 
dung sowohl eines offentlichen als auch eines geheimen 
Schliissels sowie unter Verwendung einer Zufallszahl ein 
Sitzungsschlussel erzeugt wird. Dieser wird mit einem of- 
fentlichen Schlussel verkniipft. 

Weiterhin ist in [8] ein Verfahren beschrieben, bei dem 
eine Benutzereinheit sich gegenuber einer Netzeinheit iden- 
tifiziert. AnschlieBend findet unter Anwendung einer Hash- 
Funktion zwischen der Benutzereinheit und der Netzeinheit 
ein AuthentifizierungsprozeB statt, 

Weitere sichere Kommunikationsprotokolle, die aber we- 
sentliche grundlegende Sicherheitsziele nicht realisieren, 
sind aus [9] bekannt. 

Aus [10] ist es bekannt, daB in einer ersten Computerein- 
heit aus einer ersten Zufallszahl mit Hilfe eines erzeugenden 
Elements einer endlichen Gruppe ein erster Wert gebildet 
wird, der zu einer zu einer zweiten Computereinheit iibertra- 
gen wird. In der zweiten Computereinheit wird ein Sitzungs- 
schliissel gebildet durch Hash-Wert-Bildung des ersten 
Werts, der mit einem geheimen Netzschlussel exponiert 
wird. In der ersten Computereinheit wird ebenfalls der Sit- 
zungsschlussel gebildet, dort jedoch durch Hash-Wert-Bil- 
dung eines offentlichen Netzschliissels, der mit der ersten 
Zufallszahl exponiert wird. Ferner wird dort ein Hash- Wert 
iiber den Sitzungsschlussel gebildet und der Hash- Wert wird 
digital signiert. Der sich ergebende Signatuterm wird zu der 
zweiten Computereinheit iibertragen und dort verifiziert. 

Das in [11] beschriebene Verfahren erreicht die wesentli- 
chen Sicherheitsziele, jedoch mit einem hoheren Aufwand 
an Rechenleistung und Ubertragungskapazitat. 

Asymmetrische Verfahren beruhen im wesentlichen auf 
zwei Problemen der Komplexitatstheorie, dem Problem zu- 
sammengesetzte Zahlen effizient zu faktorisieren, und dem 
diskreten Logarithmusproblem (DLP). Das DLP besteht 
darin, daB in geeigneten Rechenstrukturen zwar Exponen- 
tiationen effizient durchgefuhrt werden konnen, daB jedoch 
fur die Umkehrung dieser Operation, das Logarithmieren, 
keine effizienten Algorithmen bekannt sind. 

Sole he Rechenstrukturen sind z. B. unter den oben be- 
zeichneten endlichen Gruppen zu verstehen. Diese sind z. B. 
die multiplikative Gruppe eines endlichen Korpers (z. B. 
Muluplizieren Modulo p, wobei p eine groBe Primzahl ist), 
oder auch sogenannte "elliptische Kurven". Elliptische Kur- 
ven sind vor allem deshalb interessant, weil sie bei gleichem 
Sicherheitsniveau wesentliche kiirzere Sicherheitsparameter 
erlauben. Dies betrifft die Lange der offentlichen Schliisscl, 
die Lange der Zertifikate, die Lange der bei der Sitzungs- 
schliisselvereinbarung auszutauschenden Nachrichten so- 
wie die Lange von digitalen Signaturen, die jeweils im wei- 
teren beschrieben werden. Der Grand dafiir ist, daB die fur 
elliptische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fur endliche Korper. 
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Eine grofie Primzahl in diesern Zusammenhang bedeutet, 
daB die GroBe der Primzahl so gewahlt werden muB, daB die 
Logarithmierung so aufwendig ist, daB sie nichtin vertretba- 
rer Zeit durchgefiihrt werden kann. Vertretbar bedeutet in 
diesern Zusammenhang einen Zeitraum entsprechend der 5 
Sicherheitspolitik von mehreren Jahren bis Jahrzehnten und 
langer. 

Unter einer Hash-Funktion ist in diesern Zusammenhang 
eine Funktion zu verstehen, bei der es nicht mbglich ist, zu 
einem gegebenen Funktionswert einen passenden Eingangs- 10 
wert zu berechnen. Ferner wird einer beliebig langen Ein- 
gangszeichenfolge eine Ausgangszeichenfolge fester Lange 
zugeordnet. Des weiteren konnen fur die Hash-Funktion zu- 
satzliche Eigenschaften gefordert werden. Eine solche zu- 
satzliche Eigenschaft ist Kollisionsfreiheit, d. h. es darf 15 
nicht moglich sein, zwei verschiedene Eingangszeichenfol- 
gen zu finden, die dieselbe Ausgangszeichenfolge ergeben. 

Der Erfindung liegt das Problem zugrunde, ein verein- 
fachtes Verfahren zum rechnergestiitzten Austausch krypto- 
graphischer Schliissel anzugeben, das nicht die Existenz ge- 20 
meinsamer geheimer Schliissel voraussetzt. 

Dieses Problem wird durch das Verfahren gemaB Patent- 
anspruch 1 sowie durch die Anordnung gemaB Patentan- 
spruch 29 gelost. 

Bei dem Verfahren wird aus einer ersten Zufallszahl mit 25 
Hilfe eines erzeugenden Elements einer endlichen Gruppe 
in der ersten Computereinheit ein erster Wert gebildet. Eine 
erste Nachricht wird von der ersten Computereinheit an die 
zweite Computereinheit ubertragen, wobei die ersten Nach- 
richt mindestens den ersten Wert aufweist. In der zweiten 30 
Computereinheit wird ein Sitzungs schliissel mit Hilfe einer 
ersten Hash-Funktion gebildet wird, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion mindestens einen er- 
sten Term aufweist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts mit einem geheimen Netzschliissel. 35 
In der ersten Computereinheit wird der Sitzungsschlussel 
gebildet mit Hilfe der ersten Hash-Funktion, wobei eine 
zweite EingangsgroBe der ersten Hash-Funktion mindestens 
einen zweiten Term aufweist, der gebildet wird durch eine 
Exponentiation eines offentlichen Netzschlussels mit der er- 40 
sten Zufallszahl. In der ersten Computereinheit wird mit 
Hilfe einer zweiten Hash-Funktion oder der ersten Hash- 
Funktion eine vierte EingangsgroBe gebildet, wobei eine 
dritte EingangsgroBe fur die erste Hash-Funktion oder fur 
die zweite Hash-Funktion zur Bildung der vierten Eingangs- 45 
grbBe eine oder weitere GroBen aufweist, aus denen auf den 
Sitzungsschlussel cindeutig riickgeschlossen werden kann. 
In der ersten Computereinheit wird ein Signaturterm aus 
mindestens der vierten EingangsgroBe gebildet wird unter 
Anwendung einer ersten Signaturfunktion. Eine dritte Nach- 50 
richt wird von der ersten Computereinheit an die zweite 
Computereinheit ubertragen, wobei die dritte Nachricht 
mindestens den Signaturterm der ersten Computereinheit 
aufweist. In der zweiten Computereinheit wird der Signatur- 
term verifiziert. 55 

Bei der Anordnung sind die erste Computereinheit und 
die zweite Computereinheit derart cingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- aus einer ersten Zufallszahl wird mit Hilfe eines er- 60 
zeugenden Elements einer endlichen Gruppe in der er- 
sten Computereinheit ein erster Wert gebildet, 

- eine erste Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit ubertragen, wo- 
bei die erste Nachricht mindestens den ersten Wert auf- 65 
weist, 

- in der zweiten Computereinheit wird ein Sitzungs- 
schlussel mit Hilfe einer ersten Hash-Funktion gebil- 
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det, wobei eine erste EingangsgroBe der ersten Hash- 
Funktion mindestens einen ersten Term aufweist, der 
gebildet wird durch eine Exponentiation des ersten 
Werts mit einem geheimen Netzschliissel, 

- in der ersten Computereinheit wird der Sitzungs- 
schlussel gebildet mit Hilfe der ersten Hash-Funktion, 
wobei eine zweite EingangsgroBe der ersten Hash- 
Funktion mindestens einen zweiten Term aufweist, der 
gebildet wird durch eine Exponentiation eines offentli- 
chen Netzschlussels mit der ersten Zufallszahl, 

- in der ersten Computereinheit wird mit Hilfe einer 
zweiten Hash-Funktion oder der ersten Hash-Funktion 
eine vierte EingangsgroBe gebildet wird, wobei eine 
dritte EingangsgroBe fiir die erste Hash-Funktion oder 
fur die zweite Hash-Funktion zur Bildung der vierten 
EingangsgroBe eine oder weitere GroBen aufweist, aus 
denen auf den Sitzungsschlussel eindeutig riickge- 
schlossen werden kann. 

- in der ersten Computereinheit wird ein Signaturterm 
aus mindestens der vierten EingangsgroBe gebildet un- 
ter Anwendung einer ersten Signaturfunktion, 

- eine dritte Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit ubertragen, wo- 
bei die dritte Nachricht mindestens den Signaturterm 
der ersten Computereinheit aufweist, und 

- in der zweiten Computereinheit wird der Signatur- 
term verifiziert. 

Die durch die Erfindung erreichten Vorteile liegen vor al- 
lem in einer erheblichen Reduktion der Lange der ubertrage- 
nen Nachrichten und in der Realisierung weiterer Sicher- 
heitsziele. 

Die Erfindung ist auBerdem sehr leicht an unterschiedli- 
che Anforderungen anpaBbar, da es sich nicht auf bestimmte 
Algorithmen fiir Signaturbildung und Verschliisselung be- 
schrankt. 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich 
aus den abhangigen Anspriichen. 

In einer Weiterbildung ist es vorgesehen, einen langlebi- 
gen geheimen Netzschliissel und einen langlebigen offentli- 
chen Netzschliissel einzusetzen. 

Unter einem langlebigen Schliissel ist im weiteren ein 
Schliissel zu verstehen, der fur mehrere Protokollaufe einge- 
setzt wird. 

Durch die Erfindung und ihre Weiterbildungen werden 
folgende Sicherheitsziele realisiert: 

- Gegenseitige explizite Authentifizierung von dem 
Benutzer und dem Netz, d. h. die gegenseitige Verifi- 
zierung der behaupteten Identitat, 

- Schliisselvereinbarung zwischen dem Benutzer und 
dem Netz mit gegenseitiger impliziter Authentifizie- 
rung, d. h., daB durch das Verfahren erreicht wird, daB 
nach AbschluB der Prozedur ein gemeinsamer gehei- 
mer Sitzungsschlussel zur Verfiigung steht, von dern 
jede Partei weiB, daB nur das authentische Gegeniiber 
sich ebenfalls im Besitz des geheimen Sitzungsschliis- 
sels befinden kann, 

- Zusicherung der Frische (Aktualitat) des Sitzungs- 
schliissels fur den Benutzer, 

- gegenseitige Bestatigung des Sitzungsschlussels von 
dem Benutzer und dem Netz, d. h. die Bestatigung, daB 
das Gegeniiber tatsachlich im Besitz des vereinbarten 
geheimen Sitzungsschlussels ist. 

Auf diese Sicherheitsziele beziehen sich auch die folgen- 
den vorteilhaften Weiterbildungen des Verfahrens. 
In einer Weiterbildung wird zusatzlich in der ersten Com- 
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putereinheit ein vertrauenswiirdiger offentlicher Benutzer- 
schliissel derersten Coniputereinheit z. B. in Form eines Be- 
nutzerzertifikats verfugbar gemacht und in der zweiten 
Computereinheit wird ein vertrauenswiirdiger offentlicher 
Nelzschliissei der zweiten Computereinheit z. B. in Form ei- 
nes Netzzertifikats verfugbar gemacht. Der dffentliche 
Netzschlussel muB bei dieser Weiterbildung nicht in der er- 
sten Computereinheit verfugbar sein. 

In einer weiteren Ausgestaltung ist es nicht notig, daB der 
offentliche Benutzerschliissel in der zweiten Computerein- 
heit verfugbar ist. 

GemaB einer weiteren Ausgestaltung ist in der ersten 
Computereinheit kein vertrauenswurdiger offentlicher Netz- 
schlussel der zweiten Computereinheit erforderlich, In der 
ersten Computerenheit ist ein vertrauenswurdiger offentli- 
cher Zertifizierungsschiiissel der Zertifizierungscomputer- 
einheit verfugbar. Dies bedeutet, daB die erste Computerein- 
heit sich den vertrauenswiirdigen offentlichen Netzschlussel 
in Form eines Netzzertifikats von einer Zertifizierungscom- 
putereinheit "besorgen" muB. Ebenso braucht die zweite 
Computereinheit den vertrauenswiirdigen offentlichen Be- 
nutzerschussel in Form eines Benutzerzertifikats von der 
Zerlifizierungscomputereinheit. 

Durch die Weiterbildungen der Erfindung gemaB den Pa- 
tentanspriichen 13, 15 und 20 wird das Sicherheitsziel der 
Benutzeranonymitat realisiert, d. h. die Vertraulichkeit der 
Identitat des Benutzers gegeniiber Dritten. 

Die Weiterbildung des erfindungsgemaBen Verfahrens ge- 
maB Patentanspruch 15 ermoglicht die Verwendung von 
temporaren Benutzeridentitaten. 

Durch die Weiterbildung des Verfahrens gemaB Patentan- 
spruch 16 wird vor aliem eine zusatzliche Authentifizierung 
der zweiten Computereinheit gegeniiber der ersten Compu- 
tereinheit gewahrleistet. 

Durch die Weiterbildung gemaB Patentanspruch 18 wird 
das Sicherheitsziel der Zusicherung der Frische (Aktualitat) 
des Sitzungsschliissels fur das Netz realisiert. 

Durch die Weiterbildung gemaB Patentanspruch 21 wird 
zusatzlich das Sicherheitsziel der Nichtabstreitbarkeit von 
Daten realisiert, die vom Benutzer an das Netz gesendet 
wurden. 

Die Zeichnungen stellen bevorzugte Ausfiihrungsbei- 
spiele der Erfindung dar, die im folgenden naher beschrie- 
ben werden. 

Es zeigen 

Fig. 1 ein Ablaufdiagramm, das ein erstes Ausfuhrungs- 
beispiel des Verfahrens mit einigen Weiterbildungen dar- 
stellt; 

Fig. 2 ein Ablaufdiagramm, das ein zweites Ausfiihrungs- 
beispiel des Verfahrens mit einigen Weiterbildungen dar- 
stellt; 

Fig. 3 ein Ablaufdiagramm, das ein drittes Ausfuhrungs- 
beispiel des Verfahrens mit einigen Weiterbildungen dar- 
steilt; 

Erstes Ausfuhrungsbeispiel 

In Fig. 1 ist durch eine Skizze der Ablauf des Verfahrens 
dargestellt. Das Verfahren betrifft den Austausch kryptogra- 
phischer Schlussel zwischen einer ersten Computereinheit U 
und einer zweiten Computereinheit N, wobei unter der er- 
sten Computereinheit U eine Computereinheit eines Benut- 
zers eines Mobilfunknetzes zu verstehen ist und unter einer 
zweiten Computereinheit N eine Computereinheit des Netz- 
betreibers eines Mobilfunksystems zu verstehen ist. 

Fur das Verfahren wird vorausgesetzt, daB in der ersten 
Computereinheit U ein vertrauenswurdiger offentlicher 
Netzschlussel g s der zweiten Computereinheit N verfugbar 



ist und daB in der zweiten Computereinheit N ein vertrau- 
enswiirdiger offentlicher Benutzerschliissel KU der ersten 
Computereinheit U verfugbar ist, wobei g ein crzeugendes 
Element einer endlichen Gruppe ist. 

5 In der ersten Computereinheit U wird eine erste Zufalls- 
zahl t generiert (Schritt 101). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U ein erster Wert g l 
gebildet (Schritt 102). 

10 Nach der Berechnung des ersten Werts g c wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g l 
aufweist. Die erste Nachricht Ml wird von der ersten Com- 
putereinheit U an die zweite Computereinheit N iibertragen 
(Schritt 103). 

15 In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert. Die erste Nachricht Ml kann auch uber 
einen unsicheren Kanal, also auch uber eine Luftschnitt- 
stelle, unvcrschlusselt iibertragen werden, da die Logarith- 
mierung des ersten Wertes g 1 nicht in vertretbarer Zeit 

20 durchgefuhrt werden kann. 

In der zweiten Computereinheit N wird eine zweite Zu- 
fallszahl r generiert (Schritt 104). Durch diesen zusatzlichen 
Verfahrensschritt wird ein zusatzliches Sicherheitsziel reali- 
siert: die Zusicherung der Frische (Aktualitat) eines im fol- 

25 genden beschriebenen Sitzungsschliissels K fur die zweite 
Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe einer er- 
sten Hash-Funktion hi ein Sitzungs schlussel K gebildet 
(Schritt 105). Als eine erste EingangsgroBe der ersten Hash- 

30 Funktion hi wird mindestens ein erster Term verwcndct. 
Der erste Term wird gebildet, indem der erste Wert g l poten- 
ziert wird mit einem geheimen Netzschlussel s. 

Wenn die zweite Zufallszahl r verwendet wird, so weist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 

35 satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
A gebildet (Schritt 106). Zur Bildung der Antwort A sind 
verschiedene Varianten vorgesehen. So ist es z. B. rndglich, 
daB mit dem Sitzungsschiussel K unter Verwendung einer 

40 Vcrschliisselungsfunktion Enc cine Konstante const, sowie 
eventuell weitere GroBen, verschlusselt wird. Die Konstante 
const ist sowohl der ersten Computereinheit U als auch der 
zweiten Computereinheit N bekannt. Auch die Verschlussel- 
ungsfunktion Enc ist sowohl der zweiten Computereinheit N 

45 als auch der ersten Computereinheit U als die in dem Ver- 
fahren zu verwendende Verschliisselungsfunktion bekannt. 

Eine weitere Moglichkeit, die Antwort A zu bilden 
(Schritt 106) liegt darin, daB der Sitzungsschiussel K, sowie 
eventuell vorgebbare weitere GroBen, z. B. eine Identitats- 

50 angabe idN der zweiten Computereinheit N und/oder die 
zweite Zufallszahl als EingangsgroBe fur eine zweite Hash- 
Funktion h2 verwendet wird und der "gchashte" Wert des 
Sitzungsschliissels K, sowie eventuell der weiteren GroBen, 
als Antwort A verwendet wird. 

55 Eine Aneinanderreihung der zweiten Zufallszahl r, der 
Antwort A, sowie ein optionales erstes Datenfeld datl bil- 
den eine zweite Nachricht M2. Das option ale erste Daten- 
feld datl ist nur in der zweiten Nachrichten M2 enthalten, 
wenn dies in dem Verfahren vorgesehen ist. 

60 Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U iiber- 
tragen (Schritt 107). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die erste Computereinheit U die 

65 zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl zur Verfiigung hat. Die Lange 
des optionalen ersten Datenfeldes datl kann beliebig groB 
sein, d. h. es ist auch moglich, daB das optionale erste Daten- 
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feld datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der 
Sitzungsschliissel K gcbildet (Schritt 108), mit Hilfe der er- 
sten Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N ais auch der ersten Computereinheit U bekannt ist. 
Eine zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschlussels K in der ersten Computer- 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wirdgebildet aus einer Exponentation eines 6f- 
fentlichen Netzschlussels g 8 mit der ersten Zufallszahl t. 
Wenn die Verwendung der zweiten Zufallszahl r in dem Ver- 
fahren zur Berechnung des Sitzungsschlussels K vorgesehen 
wird, so weist die zweite EingangsgroBe der ersten Hash- 
Funktion hi zur Bildung des Sitzungsschlussels K in der er- 
sten Computereinheit. U zusatzlich die zweite Zufallszahl r 
auf. 

Durch die Verwendung der ersten Zufallszahl t und der 
zweiten Zufallszahl r bei der Generierung des Sitzungs- 
schlussels K wird die Aktualitat des Sitzungsschlussels K 
gewahrleistet, da jeweils die erste Zufallszahl t als auch die 
zweite Zufallszahl r nur fur jeweils einen Sitzungsschliissel 
K verwendet werden. Somit wird eine Wiedereinspielung 
eines alleren Schliissels als Sitzungsschliissel K verhindert. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der empfangenen 
Antwort A iiberpruft, ob der in der ersten Computereinheit 
U gebildete Sitzungsschliissel K mit dem Sitzungsschliissel 
K, der in der zweiten Computereinheit N gebildet wurde, 
iibereinstimmt (Schritt 109). Abhangig von den im vorigen 
beschriebenen Varianten zur Bildung der Antwort A sind 
verschiedene Moglichkeiten vorgesehen, den Sitzungs- 
schliissel K anhand der Antwort A zu uberpriifen. 

Eine Moglichkeit besteht darin, daB, wenn die Antwort A 
in der zweiten Computereinheit N durch Verse hliisselung 
der Konstante const, sowie eventuell weitere GroBen, mit 
dem Sitzungsschliissel K unter Verwendung der Verschlus- 
selungsfunktion Enc gebildet wurde, die Antwort A ent- 
schliisselt wird, und somit die erste Computereinheit U eine 
entschliisselte Konstante const', sowie eventuell vorgebbare 
weitere GroBen, erhalt, die mit der bekannten Konstante 
const, sowie eventuell den weiteren GroBen, verglichen 
wird. 

Die Oberprufung des Sitzungsschlussels K anhand der 
Antwort A kann auch durchgefuhrt werden, indem die der 
ersten Computereinheit U bekannte Konstante const, sowie 
eventuell vorgebbare weitere GroBen, mit dem in der ersten 
Computereinheit U gebildeten Sitzungsschliissel K unter 
Verwendung der Verschlusselungsfunktion Enc verschlus- 
selt wird und das Ergebnis mit der Antwort A auf Uberein- 
stimmung gepruft wird, Diese Vorgehensweise wird auch 
verwendet, wenn die Antwort A in der zweiten Computer- 
einheit N gebildet wird, indem auf den Sitzungsschliissel K, 
sowie eventuell den weiteren GroBen, die zweite Hash- 
Funktion h2 angewendet wird. In diesem Fall wird in der er- 
sten Computereinheit U der in der ersten Computereinheit U 
gebildete Sitzungsschliissel K, sowie eventuell vorgebbare 
weiteren GroBen, als EingangsgroBe der zweiten Hash- 
Funktion h2 verwendet. Der "gehashte" Wert des in der er- 
sten Computereinheit U gebildeten Sitzungsschlussels K, 
sowie eventuell weiterer GroBen, wird dann mit der Antwort 
A auf Ubereinstimmung gepruft. Damit wird das Ziel der 
Schlusselbestatigung des Sitzungsschlussels K crreicht. 

Dadurch, daB bei der Berechnung des Sitzungsschlussels 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschlussels 
K in der ersten Computereinheit U der offentliche Netz- 
schliisscl g s verwendet werden, wird die zweite Computer- 
einheit N durch die erste Computereinheit U authentifiziert. 



Dies wird erreicht, vorausgesetzt daB fur die erste Compu- 
tereinheit U bekannt ist, daB der offentliche Netzschliissel g 5 
tatsachlich zur zweiten Computereinheit N gehort. 
Im AnschluB an die Bestatigung des Sitzungsschlussels K 

5 durch Oberprufung der Antwort A wird ein Signaturterm 
berechnet (Schritt 110). Hierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 

10 oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschliissel eindeutig ruckgcschlossen wer- 
den kann, enthalt. Weiterhin kann die dritte EingangsgroBe 

15 das optionale erste Datenfeld datl oder auch ein optionales 
zweites Datenfeld dat2 enthalten, wenn deren Verwendung 
in dem Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g l , der offentliche 
Netzschliissel g 8 sowie die zweite Zufallszahl r. 

20 Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten oprio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet wurden. 
Die in dem ersten optionalen Datenfeld datl und in dem 

25 zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummern, die aktuelle Zeit oder ahnliche hierfur 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fur eine unanfechtbare Gebiihrenabrechnung verwen- 
det werden. 

30 Unter Verwendung einer ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Um einen hdheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 

35 ter Verwendung der Verschlusselungsfunktion Enc ver- 
schliisselt und bildet den ersten verschlusselten Term VT1. 

AuBerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers" realisiert werden soil, ein zweiter verschliis- 
selter Term VT2 berechnet, in dem eine IdentitatsgroBe 

40 IMUI der ersten Computereinheit U mit dem Sitzungschlus- 
sel K mit Hilfe der Verschlusselungsfunktion Enc verschliis- 
selt wird. Bei Verwendung eines optionalen zweiten Daten- 
feldes dat2 wird in der ersten Computereinheit U ein dritter 
verschliisselter Term VT3 berechnet, indem das optionale 

45 zweite Datenfeld dat2 mit dem Sitzungsschliissel K unter 
Verwendung der Verschlusselungsfunktion Enc verschliis- 
selt wird, das optionale zweite Datenfeld dat2 kann auch un- 
verschlusselt ubertragen werden. 
Die drei verschlusselten Terme konnen auch zu einem 

50 vierten verschlusselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und optionalem zweiten Datenfeld dat2 mit 
dem Sitzungsschliissel K verschliisselt ist (Schritt 111). 
In der ersten Computereinheit U wird eine dritte Nach- 

55 richt M3 gebildet und codiert, die mindestens den Signatur- 
term und die IdentitatsgroBe IMUI der ersten Computerein- 
heit U aufweist. 

Falls die Anonymitat der ersten Computereinheit U ge- 
wahrleistet werden soil, weist die dritte Nachricht M3 an- 

60 statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
mindestens entweder den zweiten verschlusselten Term 
VT2 oder den vierten verschlusselten Term VT4 auf, der die 
Information iiber die Identitat der ersten Computereinheit U 
in verschliisselter Form enthalt, die nur von der zweiten 

65 Computereinheit N entschliisselt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich mindestens den dritten verschlusselten Term VT3 oder 
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den vierten verschliisselten Term VT4 oder das optionale 
zweite Datenfeld dat2 im Klartext auf. 

Wenn die dritte Nachricht M3 den ersten verschlusselten 
Term VT1, den zweiten verschlusselten Term VT2 oder den 
dritten verschlusselten Term VT3 oder den vierten ver- 5 
schliisselten Term VT4 enthalt, werden diese in der zweiten 
Computereinheit N entschlusselt. Dies geschieht fur den 
eventuell vorhandenen ersten verschlusselten Term VT1 vor 
der Verifikation des Signaturterms. 

Die dritte Nachricht M3 wird von der ersten Computer- 10 
einheit U zu der zweiten Computereinheit N ubertragen 
(Schritt 112). 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm gewahrleistet, der die Zufallszahl r 15 
enthalt, durch deren Verwendung garantiert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 
putereinheit U gesendet wurde. 

In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert, entschlusselt und anschlieBend wird an- 20 
hand eines Benuterzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfugung steht, der Signaturterm verifi- 
ziert (Schritt 113). 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 25 
Verfahren um einige Verfahrensschritte erweitert. 

Zuerst mu!3 der zweiten Computereinheit N bekannt ge- 
macht werden, welche erste Computereinheit U eine neue 
temporare IdentitatsgroBe TMUIN von der zweiten Compu- 
tereinheit N zugewiesen bekommen soli. 30 

Hierzu wird als zusatzlicher Bestandteil der ersten Nach- 
richt Ml eine alte temporare IdentitatsgroBe TMUIO von 
der ersten Computereinheit U an die zweite Computerein- 
heit N ubertragen. 

Nach Empfang der ersten Nachricht Ml ist somit in der 
zweiten Computereinheit N bekannt, fiir welche erste Com- 
putereinheit U die neue temporare IdentitatsgroBe TMUIN 
bestimmt ist. 

In der zweiten Computereinheit N wird dann die neue 
temporare IdentitatsgroBe TMUIN fur die erste Computer- 
einheit U gebildet. Dies kann z. B. durch Generierung einer 
Zufallszahl oder durch Tabellen, in denen mogliche Identi- 
tatsgroBen abgespeichert sind, durchgefiihrt werden. Aus 
der neuen temporaren IdentitatsgroBe TMUIN der ersten 
Computereinheit U wird in der zweiten Computereinheit N 
ein fiinfter verschiusselter Term VT5 gebildet, indem die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U mit dem Sitzungsschlussel K unter Verwendung 
der Verschlusselungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht N2 zusatzlich 
mindestens den funften verschlusselten Term VT5 auf. Der 
funfte verschliisselte Term VT5 wird dann in der ersten 
Computereinheit U entschlusselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 

Damitder zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Da die Information der neuen temporaren IdentitatsgroBe 
TMUIN in dem Signaturterm in diesem Fall enthalten ist, 
weist die dritte Nachricht M3 nicht mehr die IdentitatsgroBe 
IMUI der ersten Computereinheit U auf. 

Es ist auch moglich, die neue temporare IdentitatsgroBe 
TMUIN nicht in den Signaturterm zu integrieren, sondem 
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den zweiten verschlusselten Term VT2 zu bilden, indem an- 
statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
die neue temporare IdentitatsgroBe TMUIN mit dem Sit- 
zungsschlussel K unter Verwendung der Verschlusselungs- 
funktion Enc verschliisselt wird. In diesem Fall weist die 
dritte Nachricht M3 zusatzlich den zweiten verschlusselten 
Term VT2 auf. 

Die in dem Verfahren verwendeten Hash-Funktionen, die 
erste Hash-Funktion hi, die zweite Hash-Funktion h2 und 
die dritte Hash-Funktion h3 konnen durch die gleiche, aber 
auch durch verschiedene Hash-Funktionen realisiert wer- 
den. 

Zweites Ausfuhrungsbeispiel 

In Fig. 2 ist durch eine Skizze der Ablauf eines zweiten 
Ausfuhrungsbeispiels des Verfahrens dargestellt. 

Fur dieses Ausfuhrungsbeispiel des Verfahrens wird vor- 
ausgesetzt, daB in der ersten Computereinheit U ein vertrau- 
enswurdiger offendicher Benutzerschliissel KU der ersten 
Computereinheit U in Form eines Benutzerzertifikats CertU 
verfugbar gemacht wird und daB in der zweiten Computer- 
einheit N ein vertrauenswiirdiger bffentlicher Netzschlussel 
g s der zweiten Computereinheit N in Form eines Netzzertifi- 
kats CertN verfugbar gemacht wird. Der offentliche Netz- 
schlussel g s muB nicht in der ersten Computereinheit U ver- 
fugbar sein. Ebenso ist es nicht notig, daB der offentliche 
Benutzerschliissel KU in der zweiten Computereinheit N 
verfugbar ist. 

In der ersten Computereinheit U wird die erste Zufalls- 
zahl t generiert (Schritt 201). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U der erste Wert g l 
gebildet (Schritt 202). 

Nach der Berechnung des ersten Werts g l wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g l und 
eine Identitatsangabe idcA einer Zertifizierungscomputer- 
einheit CA, die das Netzzertifikat CertN liefert, das von der 
ersten Computereinheit U verifiziert werden kann, aufweist. 
Die erste Nachricht Ml wird von der ersten Computerein- 
heit U an die zweite Computereinheit N ubertragen (Schritt 

203) . 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert. 

Wie in Fig. 2 beschrieben, wird in der zweiten Computer- 
einheit N eine zweite Zufallszahl r generiert wird (Schritt 

204) . Durch diesen zusatzlichen Verfahrensschritt wird ein 
zusatzliches Sicherheitsziel realisiert: die Zusicherung der 
Frische (Aktualitat) eines im folgenden beschriebenen Sit- 
zungsschliissels K fur die zweite Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe der er- 
sten Hash-Funktion hi der Sitzungsschlussel K gebildet 
(Schritt 205). Als erste EingangsgroBe der ersten Hash- 
Funktion hi wird ein erster Term verwendet. Der erste Term 
wird gebildet, indem der erste Wert g l potenziert wird mit 
dem geheimen Netzschlussel s. 

Wenn die zweite Zufallszahl r verwendet wird, so weist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 
satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
A gebildet (Schritt 206). Zur Bildung der Antwort A sind die 
im Rahmen des ersten Ausfuhrungsbeispiels beschriebenen 
Varianten vorgesehen. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des 
Netzzertiflkats CertN, der Antwort A, sowie ein optionales 
erstes Datenfeld datl bilden die zweite Nachricht M2. Das 
optionale erste Datenfeld datl ist nur in der zweiten Nach- 
richt M2 enthalten, wenn dies in dem Verfahren vorgesehen 
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ist. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codierl und zu der ersten Cornputereinheit U uber- 
tragen (Schritt 207). 

In der ersten Cornputereinheit U wird die zweite Nach- 5 
richt M2 decodiert, so daB die erste Cornputereinheit U die 
zweite Zufailszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl zur Verfugung hat Die Lange 
des optionalen ersten Datenfeldes datl kann beliebig groB 
sein, d. h. es ist auch moglich, daB das optionale erste Daten- 10 
feld datl nicht vorhanden ist. 

AnschlieBend wird das in der zweiten Nachricht M2 ent- 
haltene Netzzertifikat CertN in der ersten Cornputereinheit 
verifiziert. Somit steht der offentliche Netzschlussel g* in 
der ersten Cornputereinheit U zur Verfugung. 15 

In der ersten Cornputereinheit U wird nun ebenfalls der 
Sitzungsschliissel K gebildet (Schritt 208), mit Hilfe der er- 
sten Hash-Funktion hi, die sowohl in der zweiten Cornpu- 
tereinheit N als auch in der ersten Cornputereinheit U be- 
kannt ist. Eine zweite EingangsgroBe der ersten Hash-Funk- 20 
tion hi zur Bildung des Sitzungsschlussels K in der ersten 
Cornputereinheit U weist mindestens einen zweiten Term 
auf. Der zweite Term wird gebildet aus einer Exponentation 
des offentlichen Netzschliissels g 25 mit der ersten Zufailszahl 
t. Wenn die Verwendung der zweiten Zufailszahl r in dem 25 
Verfahren zur Berechnung des Sitzungsschlussels K vorge- 
sehen wird, so weist die zweite EingangsgroBe der ersten 
Hash-Funktion hi zur Bildung des Sitzungsschlussels K in 
der ersten Cornputereinheit U zusatzlich die zweite Zufails- 
zahl r auf. 30 

Durch die Verwendung der ersten Zufailszahl t und der 
zweiten Zufailszahl r bei der Generierung des Sitzungs- 
schlussels K wird die Aktualitat des Sitzungsschlussels K 
gewahrleistet, da jeweils die erste Zufailszahl t als auch die 
zweite Zufailszahl r nur fur jeweils einen Sitzungsschliissel 35 
K verwendet werden. Somit wird eine Wiedereinspielung 
eines altercn Schlussels als Sitzungsschliissel K verhindert. 

Nachdem in der ersten Cornputereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der empfangenen 
Antwort A uberpruft, ob der in der ersten Cornputereinheit 40 
U gebildete Sitzungsschliissel K mit dem Sitzungsschliissel 
K, der in der zweiten Cornputereinheit N gebildet wurde, 
ubereinstimmt (Schritt 209). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind verschiedene Moglichkei- 45 
ten vorgesehen, den Sitzungsschliissel K anhand der Ant- 
wort A zu uberprufen. 

Zur tJberprufung der Antwort A sind die im Rahmen des 
ersten Ausfuhrungsbeispiels beschriebenen Varianten vor- 
gesehen. Damit wird das Ziel der Schlusselbesuitigung des 50 
Sitzungsschlussels K erreicht. 

Dadurch, daB bei der Berechnung des Sitzungsschlussels 
K in der zweiten Cornputereinheit N der geheime Netz- 
schlussel s und bei der Berechnung des Sitzungsschlussels 
K in der ersten Cornputereinheit U der offentliche Netz- 55 
schlussel g s verwendet werden, wird die zweite Cornputer- 
einheit N durch die erste Cornputereinheit U authentifiziert. 
Dies wird erreicht, vorausgesetzt daB fur die erste Cornpu- 
tereinheit U bekannt ist, daB der offentliche Netzschlussel g 5 
tatsachlich zur zweiten Cornputereinheit N gehort. 60 

Im AnschluB an die Bestatigung des Sitzungsschlussels K 
durch t)bcrpriifung der Antwort A wird der Signalurterm 
berechnet (Schritt 210). Hierzu wird mit Hilfe der dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 65 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. ALs eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
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wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschliissel eindeuug ruckgeschlossen wer- 
den kann. Weiterhin kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein optionales zweites 
Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g', der offentliche 
Netzschlussel g 8 sowie die zweite Zufailszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Cornpu- 
tereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummern, die aktuelle Zeit oder ahnliche hierfur 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fiir eine unanfechtbare Gebuhrenabrechnung verwen- 
det werden. 

Unter Verwendung einer ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Um einen hdheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 
ter Verwendung der Verschlusselungsfunktion Enc ver- 
schliisselt und bildet den ersten verschlusselten Term VT1 . 

AuBerdem wird, falls das Sicherheitsziei "Anonymitat 
des Benutzers" realisiert werden soil, ein zweiter verschliis- 
selter Term VT2 berechnet, in dem ein Benutzerzertifikal 
CertU der ersten Cornputereinheit U mit dem Sitzungschliis- 
sel K mit Hilfe der Verschlusselungsfunktion Enc verschliis- 
selt wird. Bei Verwendung eines optionalen zweiten Daten- 
feldes dat2 kann in der ersten Cornputereinheit U ein dritter 
verschlusselter Term VT3 berechnet werden, indem das op- 
tionale zweite Datenfeld dat2 mit dem Sitzungsschliissel K 
unter Verwendung der Verschlusselungsfunktion Enc ver- 
schliisselt wird. Das optionale zweite Datenfeld dat2 kann 
ebenso unverschluselt ubertragen werden. 

Die drei verschlusselten Terme konnen auch zu einem 
vierten verschlusselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und optionalem zweiten Datenfeld dat2 mit K 
verschliisselt ist (Schritt 211). 

In der ersten Cornputereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens den Signatur- 
term und das Benutzerzertifikat CertU der ersten Cornputer- 
einheit U aufweist. Falls die Benutzeranonymitat der ersten 
Cornputereinheit U gewahrleistet werden soil, weist die 
dritte Nachricht M3 anstatt des Benutzerzertifikats CertU 
der ersten Cornputereinheit U mindestens entweder den 
zweiten verschlusselten Term VT2 oder den vierten ver- 
schlusselten Term VT4 auf, der das Benutzerzertifikat CertU 
der ersten Cornputereinheit U in verschlusselter Form ent- 
halt, die nur von der zweiten Cornputereinheit N entschliis- 
selt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich mindestens den dritten verschlusselten Term VT 3 oder 
den vierten verschlusselten Term VT4 auf. Wenn die dritte 
Nachricht M3 den ersten verschlusselten 'ierm VT1, den 
zweiten verschlusselten Term VT2 oder den dritten ver- 
schlusselten Term VT3 oder den vierten verschlusselten 
Term VT4 aufweist, werden diese in der zweiten Cornputer- 
einheit N entschlusselt. Dies geschieht fur den eventuell 
vorhandenen ersten verschlusselten Term VT1 vor der Veri- 
fikation des Signaturterms. 

Die dritte Nachricht M3 wird von der ersten Cornputer- 
einheit U zu der zweiten Cornputereinheit N ubertragen 
(Schritt 212). 
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In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert, entschlusselt und anschlieBend wird an- 
hand cines Benutcrzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfugung stent, der Signaturterm verifi- 
ziert(Schritt213). 5 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm gewahrleistet, der die Zufallszahl r 
enthalt, durch deren Verwendung garantiert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 10 
putereinheit U gesendet wurde. 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren urn einige Verfahrensschritte erweitert. 

In der zweiten Computereinheit N wird fur die erste Com- 15 
putereinheit U eine neue temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 
gewiesen wird. Dies kann durch Generierung einer Zufalls- 
zahl oder durch Tabellen, in denen mogliche Identitatsgro- 
Ben abgespeichert sind, durchgefuhrt werden. Aus der neuen 20 
ternporaren IdentitatsgroBe TMUIN der ersten Computer- 
einheit U wird in der zweiten Computereinheit N ein funfter 
verschliisselter Term VT5 gebildet, indem die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
mit dem Sitzungsschliissel K unter Verwendung der Ver- 25 
schltisseiungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 
mindestens den funften verschliisselten Term VT5 auf. Der 
funfte verschliisselte Term VT5 wird dann in der ersten 
Computereinheit U entschlusselt. Nun ist die neue tempo- 30 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 35 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Es ist auch mogiich, die neue temporare IdentitatsgroBe 40 
TMUIN nicht in den Signaturterm zu integrieren, sondem 
den zweiten verschliisselten Term VT2 zu bilden, indem die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U mit dem Sitzungsschliissel K unter Verwendung 
der Verschliisselungsfunktion Enc verschliisselt wird. In 45 
diesem Fall weist die dritte Nachricht M3 zusatzlich den 
zweiten verschliisselten Term VT2 auf. 

Drittes Ausfuhrungsbeispiel 

50 

In Fig. 3 ist durch eine Skizze der Ablauf eines dritten 
Ausfuhrungsbci spiels dargestellt. 

Fur dieses Ausfuhrungsbeispiel des Verfahrens wird vor- 
ausgesetzt, daB in der ersten Computereinheit U kein ver- 
trauenswurdiger offentlicher Netzschliissel g 8 der zweiten 55 
Computereinheit N verfugbar ist. In der ersten Computer- 
einheit U ist ein vertrauenswurdiger offentlicher Zertifizie- 
rungsschliissel cs einer Zertifizierungscomputereinheit CA 
verfugbar. Dies bedeutet, daB die erste Computereinheit U 
sich den vertrauenswurdigen offentlichen Netzschliissel g 5 60 
in Form eines Netzzertifikats CertN von der Zertifizierung- 
scomputereinheit CA "besorgen" muB. Ebenso braucht die 
zweite Computereinheit N den vertrauenswurdigen offentli- 
chen Benutzerschiissel KU in Form eines Benutzerzertifi- 
kats CertU von der Zertifizierungscomputereinheit CA. 65 

In der ersten Computereinheit U wird die erste Zufalls- 
zahl t genericrt (Schritt 301). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
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Gruppe in der ersten Computereinheit U der erste Wert g l 
gebildet (Schritt 302). 

Nach der Berechnung des ersten Werts g 1 wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g l , 
eine IdentitatsgroBe JMUI der ersten Computereinheit U 
und eine IdentitatsgroBe idc A einer Zertifizierungscompu- 
tereinheit CA, die ein Netzzertifikat CertN liefert, das von 
der ersten Computereinheit U verifiziert werden kann, auf- 
weist. Dies ist notig, wenn mehrere Zertifizierungsinstanzen 
mit unterschiedlichen geheimen Zertifizierungsschliisseln 
vorgesehen werden. Wenn das Sicherheitsziel der Benutze- 
ranonymitat realisiert werden soli, wird in der ersten Com- 
putereinheit U vor Bildung der ersten Nachricht Ml ein 
Zwischenschlussel L gebildet. Dies geschieht durch Poten- 
zierung des offentlichen Schliisseivereinbarungsschliissels 
g u der Zertifizierungscomputereinheit CA, der in der ersten 
Computereinheit U verfugbar ist, mit der ersten Zufallszahl 
t. Im weiteren wird in diesem Fall die IdentitatsgroBe IMUI 
der ersten Computereinheit U mit dem Zwischenschlussel L 
unter Anwendung einer Verschliisselungsfunktion Enc ver- 
schliisselt und das Ergebnis stellt einen funften verschliissel- 
ten Term VT5 dar. Der fiinfte verschliisselte Term VT5 wird 
anstatt der IdentitatsgroBe IMUI der ersten Computereinheit 
U in die erste Nachricht Ml integriert. Die erste Nachricht 
Ml wird von der ersten Computereinheit U an die zweiten 
Computereinheit N ubertragen (Schritt 303). 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert, und eine vierte Nachricht M4 gebildet 
(Schritt 304), die eine Verkettung des der zweiten Compu- 
tereinheit N bekannten Zertifikats CertN auf den offentli- 
chen Netzschliissel g s ,.dem ersten Wert g' und der Identitats- 
groBe IMUI der ersten Computereinheit U aufweist. In dem 
Fall, daB das Sicherheitsziel der Benutzeranonymitat reali- 
siert werden soil, wird in der vierten Nachricht M4 anstatt 
der IdentitatsgroBe IMUI der ersten Computereinheit U der 
funfte verschliisselte Term VT5 codiert. 

Die vierte Nachricht M4 wird in der zweiten Computer- 
einheit N codiert und anschlieBend an die Zertifizierung- 
scomputereinheit CA ubertragen (Schritt 304). 

In der Zertifizierungscomputereinheit CA wird die vierte 
Nachricht M4 decodiert. 

AnschlieBend wird, falls die Benutzeranonymitat gewahr- 
leistet wird, also der funfte verschliisselte Term VT5 in der 
vierten Nachricht M4 mitgesendet wurde, in der Zertifizie- 
rungscomputereinheit CA der Zwischenschlussel L berech- 
net, indem der erste Wert g l mit einem geheimen Schliissel- 
vereinbarungsschliissel u der Zertifizierungscomputerein- 
heit CA potenziert wird. 

Mit dem Zwischenschlussel L wird unter Verwendung der 
Verschliisselungsfunktion Enc der fiinfte verschliisselte 
Term VT5 entschlusselt, womit in der Zertifizierungscom- 
putereinheit CA die IdentitatsgroBe IMUI der ersten Com- 
putereinheit U bekannt ist. 

In der Zertifizierungscomputereinheit CA wird dann das 
Benutzerzertifikat CertU ermittelt. Das Benutzerzerlifikat 
CertU wird aus einer der Zertifizierungscomputereinheit CA 
eigenen Datenbank ermittelt, die alle Zcrtifikate der Compu- 
tereinheiten enthalt, fur die die Zertifizierungscomputerein- 
heit CA Zertifikate erstellt. 

Urn die Giiltigkeit des Netzzertifikats CertN und des Be- 
nutzerzertifikats CertU zu uberprufen, wird eine Identitats- 
angabe id N der Netzcomputereinheit N und der in der vier- 
ten Nachricht mitgesendete offentliche Netzschliissel g s , die 
IdentitatsgroBe IMUI der ersten Computereinheit U sowie 
das ermittelte Benutzerzertifikat CertU mit einer Revokati- 
onsliste verglichen, in der ungultige Zertifikate, Schlussel 
oder IdentitatsgroBen aufgefuhrt sind. 

AnschlieBend bildet die Zertifizierungscomputereinheit 
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CA drei Ketten von Zertifikaten, eine erste Zertifikatskette 
CertChain(U, N), eine zweite Zertifikatskette CertChain(N, 
U) sowie eine dritte Zertifikatskette CertChain(N, CA). 

Die erste Zertifikatskette CertChain(U, N) kann von der 
ersten Computereinheit U mittels des der ersten Computer- 5 
einheit U bekannten offentlichen Zertifizierungsschlussels 
der Zertifizierungscomputereinheit CA verifiziert werden 
und enthalt als letztes Giied ein Zertifikat CertN auf den of- 
fentlichen Schiussel g 8 von der zweiten Computereinheit N. 

Die zweite Zertifikatskette CertChain(N, U) kann von der 10 
zweiten Computereinheit N verifiziert werden und enthalt 
als letztes Glied ein Zertifikat CertU auf den offentlichen 
Schliissel KU von der ersten Computereinheit U. 

Die dritte Zertifikatskette CertChain(N, CA) kann von der 
zweiten Computereinheit N verifiziert werden und enthalt 15 
als letztes Glied ein Zertifikat auf den offentlichen Veri fixa- 
tions schlussels von der Zertifizierungscomputereinheit CA. 

Die erste Zertifikatskette CertChain(U, N) und die zweite 
Zertifikatskette CertChain(N, U) konnen eindeutig identifi- 
ziert werden durch die Identifikatoren cidU und cidN. 20 

AnschlieBend wird aus mindestens einer Verkettung des 
ersten Werts g 1 und der Identifikatoren cidU und cidN ein 
dritter Term gebildet. 

Der dritte Term wird mit Hilfe einer vierten Hash-Funk- 
tion h4 "gehasht" und das Ergebnis der Hash-Funktion h4 25 
wird unter Verwendung einer dritten Signaturfunktion SigcA 
signiert. 

Weiterhin wird in der Zertifizierungscomputereinheit CA 
ein Zeitstempel TS kreiert. Dieser findet optional Eingang in 
den dritten Term. 30 

Eine in der Zertifizierungscomputereinheit CA gebildete 
funfte Nachricht M5 weist mindestens eine Verkettung aus 
dem signierten dritten Term und den Zertifikatsketten Cert- 
Chain(U, N) und CertChain(N, U) sowie optional den Zeit- 
stempel TS und die Zertifikatskette CertChain(N, CA) auf. 35 
Optional werden der signierte Hash-Wert des dritten Terms 
sowie die Zertifikatskette CertChain(N, U) mit dem Zwi- 
schenschliissel L verschlusselt. 

Die runfte Nachricht M5 wird in der Zertifizierungscom- 
putereinheit CA codiert und an die zweite Computereinheit 40 
N ubertragen (Schritt 305). Nachdem die funfte Nachricht 
M5 in der zweiten Computereinheit N decodiert ist, wird der 
signierte Hash- Werts des dritten Terms verifiziert, sofern er 
nicht mit L verschlusselt ist. 

In der zweiten Computereinheit N wird nun ein vierter 45 
Term gebildet, der mindestens eine Verkettung der Zertifi- 
katskette CertChain(U, N) und des (optional mit dem Zwi- 
schenschlussel L verschlusselten) signierten Hash-Werts des 
dritten Terms aufweist. 

In der zweiten Computereinheit N wird mil Hilfe der er- 50 
sten Hash-Funktion hi ein Sitzungsschlussel K gebildet. Als 
eine erste EingangsgroBe der ersten Hash-Funktion hi wird 
eine Kokatenation eines ersten Terms mit der zweiten Zu- 
fallszahl r verwendet. Der erste Term wird gebildet, indem 
der erste Wert g l potenziert wird mit einem geheimen Netz- 55 
schiussel s. Die zweite Zufallszahl r findet Verwendung, 
wenn das zusatzliche Sicherheitsziel der Zusicherung der 
Frische (Aktualitat) des Sitzungsschliissels K fiir die zwei- 
ten Computereinheit N realisiert werden soil. Ist dieses Si- 
cherheitsziel nicht benotigt, wird die zweite Zufallszahl r 60 
nicht in dem Verfahren zur Berechnung des Sitzungsschliis- 
sels K verwendet. 

In der zweiten Computereinheit N wird eine Antwort A 
gebildet. Zur Bildung der Antwort A sind die in dem ersten 
Ausfuhrungsbeispiel beschriebenen Varianten vorgesehen. 65 

Eine Aneinanderreihung der zweiten Zufallszahl r, des 
vierten Terms, der Antwort A, sowie eines optionalen ersten 
Datenfeldes datl und des optionalen Zeitstempeis bilden 
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eine zweite Nachricht M2. Das optionale erste Datenfeld 
datl ist nur in der zweiten Nachricht M2 enthalten, wenn 
dies in dem Verfahren vorgesehen wird. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U uber- 
tragen (Schritt 306). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die ersten Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl und eventuell den Zeitstempel 
TS zur Verfiigung hat. Die Lange des optionalen ersten Da- 
tenfeldes datl kann beliebig groB sein, d. h. es ist auch mog- 
lich, daB das optionale erste Datenfeld datl nicht vorhanden 
ist. 

In der ersten Computereinheit U wird nun ebenfalls der 
Sitzungsschlussel K gebildet (Schritt 307), mit Hilfe der er- 
sten Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N als auch der ersten Computereinheit U bekannt ist. 
Eine zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels K in der ersten Computer- 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wird gebildet aus einer Exponentation eines of- 
fentlichen Netzschlussels mit der ersten Zufallszahl t. 
Wenn die zweite Zufallszahl r in dem Verfahren zur Berech- 
nung des Sitzungsschliissels K vorgesehen wird, so weist 
die zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels K in der ersten Computer- 
einheit U zusatzlich die zweite Zufallszahl r auf. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schlussel K gebildet wurde, wird anhand der empfangenen 
Antwort A uberpruft, ob der in der ersten Computereinheit 
U gebildete Sitzungsschlussel K mit dem Sitzungsschlussel 
K, der in der zweiten Computereinheit N gebildet wurde, 
ubereinstimmt (Schritt 308). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind die oben beschriebenen 
Moglichkeiten vorgesehen, den Sitzungsschlussel K anhand 
der Antwort A zu uberprufen. 

Dadurch, daB bei der Berechnung des Sitzungsschliissels 
K in der zweiten Computereinheit N der geheime Netz- 
schlussel s und bei der Berechnung des Sitzungsschliissels 
K in der ersten Computereinheit U der offentliche Netz- 
schliissel g verwendet werden, wird die zweiten Computer- 
einheit N durch die ersten Computereinheit U authentifi- 
ziert. Dies wird erreicht, vorausgesetzt daB fiir die erste 
Computereinheit U bekannt ist, daB der offentliche Netz- 
schliissel g 5 tatsachlich zur zweiten Computereinheit N gc- 
hort. Letzteres wird von U erreicht durch die Verifikation 
der Zertifikatskette CertChain(U, N) sowie des signierten 
Hash werts des dritten Terms. Ist letzterer mit dem Zwi- 
schenschliissel L verschlusselt, muB er vor der Verifikation 
mit dem Zwischenschlussel L cntschliissclt werden. 

Im AnschluB an die Bestatigung des Sitzungsschliissels K 
durch Uberprufung der Antwort A wird ein Signaturterm 
berechnet (Schritt 309). Hierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet. Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbc 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe rur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschlussel eindeutig riickgeschlosscn wer- 
den kann. Weiterhin kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein option ales zweites 
Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g\ der offentliche 
Netzschlussel g 8 sowie die zweite Zufallszahl r. 




DE 198 22 



17 



Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in dem 5 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummem, die aktuelle Zeit oder ahnliche hierfiir 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fur eine unanfechtbare Gebuhrenabrechnung verwen- 
det werden. 10 

Unter Verwendung einer ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Urn einen hoheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschliissel K un- 15 
ter Verwendung der Verschlusselungsfunktion Enc ver- 
schliisselt und biidet den ersten verse hitisselten Term VT1. 

Bei Verwendung eines optionalen zweiten Datenfeldes 
dat2 wird in der ersten Computereinheit U ein dritter ver- 
schliisselter Term VT3 berechnet, indem das optionale 20 
zweite Datenfeld dat2 mit dem Sitzungsschlussel K unter 
Verwendung der Verschlusselungsfunktion Enc verschlus- 
selt wird. Das optionale zweite Datenfeld dat2 kann auch 
unverschliisselt, also im Klartext ubertragen werden. 

Alternativ zur Bildung des ersten und des dritten ver- 25 
schlusselten Terms VT1 und VT3 kann auch ein vierter ver- 
schliisselten Term VT4 gebildet werden, indem mindestens 
die Verkettung des Signaturterms sowie optional des Daten- 
feldes dat2 und des Zwischenschliissels L mit dem Sitzungs- 
schliissel K verschliisselt wird (Schritt 310). 30 

In der ersten Computereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens aus dem er- 
sten verschliisselten Term VT1, und, wenn das optionale 
zweite Datenfeld dat2 verwendet wird, dem dritten ver- 
schliisselten Term VT3 oder dem optionalen zweiten Daten- 35 
feid dat2 im Klartext, oder aber aus dem vierten verschliis- 
selten Term VT4 besteht. 

Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zu der zweiten Computereinheit N ubertragen 
(Schritt 311). 40 

In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert und anschlieBend wird der erste ver- 
schliisselte Term VT1 sowie eventuell der dritte verschlus- 
selte Term VT3, oder aber der vierte verse hlusselte Term 
VT4 entschliisselt. Wurden Teile der Nachricht M5 mit L 45 
verschliisselt, so kann nun die zweite Computereinheit N 
mit. Hilfc des in Nachricht M3 empfangenen Zwischen- 
schliissels L die verschliisselten Teile der Nachricht M5 ent- 
schliisseln. Daraufhin kann die zweite Computereinheit N 
die zweite Zertifikatskette Cert(N, U) sowie den signierten 50 
Hashwert des dritten Terms unter Anwendung des offentli- 
chen Vcrifikationsschlussels von CA verifizieren. Anhand 
des Benuterzertifikats CertU, das der zweiten Computerein- 
heit N nun zur Verfugung steht, wird der Signaturterm veri- 
fiziert. 55 

Zusatzlich wird die Authentiflkation der ersten Compu- 
tereinheit U gegenuber der zweiten Computereinheit N 
durch den Signaturterm in der dritten Nachricht M3 gewahr- 
leistet, der die Zufallszahl r enthalt, durch deren Verwen- 
dung auch garantiert wird, daB die dritte Nachricht M3 tat- 60 
sachlich aktuell von der ersten Computereinheit U gesendet 
wurde. 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren um einige Verfahrensschritte erweitert. 65 

In der zweiten Computereinheit N wird fiir die erste Com- 
putereinheit U cine neuc temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 
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gewiesen wird. Dies kann z. B. durch Generierung einer Zu- 
fallszahl oder durch Tabellen, in denen mogliche Identitats- 
groBen abgespeichert sind, durchgefiihrt werden. Aus der 
neuen temporaren IdentitatsgroBe TMUIN der ersten Com- 
putereinheit U wird in der zweiten Computereinheit N ein 
fiinfter verschlusselter Term VT5 gebildet, indem die neue 
temporare IdentitatsgroBe TMUIN der ersten Computerein- 
heit U mit dem Sitzungsschlussel K unter Verwendung der 
Verschlusselungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 
mindestens den funften verschliisselten Term VT5 auf. Der 
funfte verschlusselte Term VT5 wird dann in der ersten 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 

Darnit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt cmpfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die zweite Hash-Funktion h2 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Im weiteren werden einige Alternativen der oben be- 
schriebenen Ausfuhrungsbeispiele aufgezeigt: 

Die Erfindung beschrankt sich nicht auf ein Mobilfunksy- 
stem und somit auch nicht auf einen Benutzer eines Mobil- 
funksystems und das Netz, sondern kann in alien Bereichen 
angewendet werden, in denen ein kryptographischer Schliis- 
selaustausch zwischen zwei Kommunikationspartnern be- 
notigt wird. Dies kann z. B. in einer Kommunikationsbezie- 
hung zwischen zwei Rechnern, die Daten in verschlusselter 
Form austauschen wollen, der Fall sein. Ohne Beschran- 
kung der AUgemeingultigkeit wurde oben ein erster Kom- 
munikationspartner als erste Computereinheit U und ein 
zweiter Kommunikationspartner als zweite Computerein- 
heit N bezeichnet. 

Im Rah men dieses Dokuments wurden folgende Vcrof- 
fentlichungen zitiert: 

[I] A. Aziz, W. Diffie, "Privacy and Authentication for 
Wireless Local Area Networks", IEEE Personal Com- 
munications, 1994, S. 25 bis 31 
[2] M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting 
on Privacy and Authentication for Personal Communi- 
cations, P & A JEM 1993, 1993, S. 1 bis 11 
[3] C. Carroll, Y. Frankel, Y. Tsiounis, "Efficient key 
distribution for slow computing devices", Conference 
Security & Privacy, Oakland, 1998 
[4] J. Zhou, K. Lam, "Undeniable billing in mobile 
communications", preprint 1998 
[5] US 5 214 700 

[6] DE-Broschure: Telesec. Telekom, Produktentwick- 
lung Telesec beim Fernmeldeamt Siegen, S. 12-13 
[7] US 5 222 140 
[8] US 5 153 919 

[9] M. Beller et al. Privacy and Authentication on a 
Portable Communication System, IEEE Journal on Se- 
lected Areas in Communications, Vol. 11, No. 6, S. 
821-829, 1993 
[10]DE 195 185 465 CI 

[II] W. Diffie, P. C. von Oorschot, M. Wiener, "Au- 
thentication and authenticated key exchanges", De- 
signs, Codes and Cryptography, Vol. 2, S. 107-125, 
1992. 
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Patentanspriiche 

1 . Verfahren zum rechnergestiitzten Austausch krypto- 
graphischer Schlussel zwischen einer ersten Computer- 
einheit (U) und einer zweiten Computereinheit (N), 5 

- bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer endli- 
chen Gruppe in der ersten Computereinheit (U) 
ein erster Wert (g l ) gebildet wird, 

- bei dem eine erste Nachricht (Ml) von der er- 10 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) ubertragen wird, wobei die ersten 
Nachricht (Ml) mindestens den ersten Wert (g l ) 
aufweist, 

- bei dem in der zweiten Computereinheit (N) ein 15 
Sitzungsschlussel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet wird, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweist, der gebildet 
wird durch eine Exponentiation des ersten Werts 20 
(g*) mit einem geheimen Netzschlussel (s), 

- bei dem in der ersten Computereinheit (U) der 
Sitzungsschlussel (K) gebildet wird mit Hilfe der 
ersten Hash-Funktion (hi), wobei eine zweite 
EingangsgroBe der ersten Hash-Funktion (hi) 25 
mindestens einen zweiten Term aufweist, der ge- 
bildet wird durch eine Exponentiation eines of- 
fentlichen Netzschlussels (g s ) mit der ersten Zu- 
fallszahl (t), 

- bei dem in der ersten Computereinheit (U) mit 30 
Hilfe einer zweiten Hash-Funktion (h2) oder der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fiir die erste Hash-Funktion (hi) oder fur 
die zweite Hash-Funktion (h2) zur Bildung der 35 
vierten EingangsgroBe eine oder weitere GroBen 
aufweist, aus denen auf den Sitzungsschlussel ein- 
deutig ruckgeschlossen werden kann. 

- bei dem in der ersten Computereinheit (U) ein 
Signaturterm aus mindestens der vierten Ein- 40 
gangsgroBe gebildet wird unter Anwendung einer 
ersten Signaturfunktion (Sigu), 

- bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) ubertragen wird, wobei die dritte 45 
Nachricht (M3) mindestens den Signaturterm der 
ersten Computereinheit (U) aufweist, und 

- bei dem in der zweiten Computereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, bei dem der geheime 50 
Netzschlussel und/oder der offentliche Netzschlussel 
langlebige Schlussel ist/sind. 

3. Verfahren nach Anspruch 1 oder 2, bei dem die 
dritte EingangsgroBe mehrere GroBen aufweist, aus de- 
nen auf den Sitzungsschlussel eindeutig ruckgeschios- 55 
sen werden kann. 

4. Verfahren nach einem der Anspriiche 1 bis 3, bei 
dem die GroBe bzw. die GroBen mindestens zumindest 
den ersten Wert (g 1 ) und/oder den offentlichen Netz- 
schlussel (g 8 ) enthalt bzw. enthalten. 60 

5. Verfahren nach einem der Anspriiche 1 bis 4, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsangabe (\6qa) einer Zertifizierungscomputer- 
einheit (CA), die ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren letztes das 65 
Netzzertifikat (CertN) ist, liefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann, aufweist, 
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- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens das Netzzertifikat 
(CertN) oder die Kette von Zertifikaten, deren 
letztes das Netzzertifikat (CertN) ist, aufweist, 
und 

- bei dem in der ersten Computereinheit (U) das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, deren letztes das Netzzertifikat (CertN) ist, 
verifiziert wird, 

6. Verfahren nach Anspruch 5, 

- bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) ubertragen wird, wobei die dritte 
Nachricht (M3) ein Benutzerzertifikat (CertU) 
oder eine Kette von Zertifikaten, deren letztes das 
Benutzerzertifikat (CertU) ist, aufweist, 

- bei dem in der zweiten Computereinheit (N) 
das Benutzerzertifikat (CertU) oder die Kette von 
Zertifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

- bei dem die erste Nachricht (Ml) eine Idenu- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Identitatsangabe (idoO einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 
putereinheit (U) ein Netzzertifikat (CertN) liefert, 
das von der ersten Computereinheit (U) verifiziert 
werden kann, aufweist, 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den er- 
sten Wert (g c ) als EingangsgroBe aufweist, 

- bei dem eine funfte Nachricht (M5), die minde- 
stens das Netzzertifikat (CertN) oder cine Zertifi- 
katskette, deren letztes Glied das Netzzertifikat 
(CertN) ist, oder das Benutzerzertifikat (CertU) 
oder eine Zertifikatskette, deren letztes Glied das 
Benutzerzertifikat (CertU) ist, aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 
ten Computereinheit (N) ubertragen wird, 

8. Verfahren nach einem der Anspriiche 1 bis 7, 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den of- 
fentlichen Netzschlussel (g 5 ), den ersten Wert (g 1 ), 
die IdentitatsgroBe (IMUI) der ersten Computer- 
einheit (U) als EingangsgroBe aufweist und wobei 
eine AusgangsgrdBe einer dritten Hash-Funktion 
(h3) unter Verwendung einer zweiten Signatur- 
funktion (Sig N ) signiert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der erste signierte Term verifiziert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein dritter Term gebildet wird, der minde- 
stens den ersten Wert (g*), den offentlichen Netz- 
schlussel (g 8 ) und eine Identitatsangabe (idtf) der 
zweiten Computereinheit (N) aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash- Wert uber den dritten Term ge- 
bildet wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash- Wert uber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
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(Sig C A) signiert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein Netzzertifikat (CertN) gebildet wird, das 
mindestens den dritten Term und den signierten 
Hash-Wert des dritten Terms aufweist, 5 

- bei dem in der Zertifizierungscomputereinheit 
(CA) auf einen funften Term der mindestens die 
Identitatsangabe (id^) der zweiten Computerein- 
heit (N) und ein Benutzerzertiflkat (CertU) auf- 
weist, eine vierte Hash-Funktion (h4) angewendet to 
wird, 

- bei dem der Hash-Wert des funften Terms durch 
Verwendung der dritten Signaturfunktion (SigcA) 
mit dem geheimen Zertifizierungsschliissel (cs) 
signiert und das Ergebnis den zweiten signierten 15 
Term darstellt, 

- bei dem eine funfte Nachricht (M5), die minde- 
stens das Netzzertifikat (CertN), den funften Term 
und den zweiten signierten Term aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 20 
ten Computereinheit (N) ubertragen wird, 

- bei dem in der zweiten Computereinheit (N) 
das Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert werden, 

- bei dem in der zweiten Computereinheit (N) ein 25 
vierter Term, der mindestens den offentlichen 
Netzschlussel (g s ) und den signierten Hash-Wert 
des dritten Terms aufweist, gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 30 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens den vierten Term auf- 
weist, und 

- bei dem in der ersten Computereinheit (U) das 
Netzzertifikat (CertN) verifiziert wird. 35 

9. Verfahren nach einem der Anspriiche 1 bis 8, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Identitatsangabe (idc A ) einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 40 
putereinheit (U) ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren letztes das 
Netzzertifikat (CertN) ist, liefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann oder konnen, aufweist, 45 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens ein Zer- 
tifikat auf den offentlichen Netzschlussel (g 5 ), den 50 
ersten Wert (g l )und die IdentitatsgroBe (IMUI) der 
ersten Computereinheit (U) aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein dritter Term gebildet wird, der minde- 
stens den offentlichen Netzschlussel (g s )oder eine 55 
GroBe, die den offentlichen Netzschlussel (g**) 
eindeutig bestimmt, aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash-Wert iiber den dritten Term ge- 60 
bildet wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(SigcA) signiert wird, 65 

- bei dem eine funfte Nachricht (M5), die minde- 
stens den signierten Hash-Wert iiber den dritten 
Term aufweist, von der Zertifizierungscomputer- 
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einheit (CA) zu der zweiten Computereinheit (N) 
ubertragen wird, 

- bei dem in der zweiten Computereinheit (N) der 
signierte Hash-Wert iiber den dritten Term verifi- 
ziert wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens den signierten Hash- 
Wert iiber den dritten Term aufweist, und 

- bei dem in der ersten Computereinheit (U) der 
signierte Hash-Wert iiber den dritten Term verifi- 
ziert wird. 

10. Verfahren nach Anspruch 9, bei dem der dritte 
Term einen offentlichen Benutzersignaturschlussel 
(KU) oder eine GroBe, die den Benutzersignaturschlus- 
sel (KU) eindeutig bestimmt, aufweist. 

11. Verfahren nach Anspruch 9 oder 10, bei dem die 
funfte Nachricht (M5) sowie die zweite Nachricht 
(M2) mindestens eine Kette von Zertifikaten aufweist. 

12. Verfahren nach Anspruch 8, bei dem der funfte 
Term einen Zeitstempel (TS) aufweist. 

13. Verfahren nach einem der Anspriiche 9 bis 12, bei 
dem der dritte Term einen Zeitstempel (TS) aufweist. 

14. Verfahren nach einem der Anspriiche 7 bis 13, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der ersten Nachricht (Ml) ein Zwischen- 
schlussel (L) gebildet wird, indem ein offentlicher 
Schlusselvereinbarungsschlussel (g u ) mit der er- 
sten Zufallszahl (t) potenziert wird, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der ersten Nachricht (Ml) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter verschliisselter Term (VT2) gebildet 
wird, indem die IdentitatsgroBe (IMUI) mit dem 
Zwischenschliissel (L) unter Anwendung einer 
Verschlusselungsfunktion (Enc) verschlusselt 
wird, 

- bei dem die erste Nachricht (Ml) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit^) den zweiten verschliisselten Term (VT2) 
aufweist, 

- bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit(U) den zweiten verschliisselten Term (VT2) 
aufweist. 

15. Verfahren nach einem der Anspriiche 7 bis 14, bei 
dem in der funften Nachricht (M5) das Netzzertifikat 
(CertN) oder eine Zertifikatskette, deren letztes Glied 
das Netzzertifikat (CertN) ist, oder das Benutzerzertifl- 
kat (CertU) oder eine Zertifikatskette, deren letztes 
Glied das Benutzerzertiflkat (CertU) ist, mit L ver- 
schlusselt ist. 

16. Verfahren nach einem der Anspriiche 7 bis 15, bei 
dem in der Zertifizierungscomputereinheit (CA) min- 
destens eine der GroBen, die Identitatsangabe (id N ) der 
zweiten Computereinheit (N), die IdentitatsgroBe 
(LMUI)der ersten Computereinheit (U), der offentliche 
Netzschlussel (g 8 ), das Netzzertifikat (CertN) oder das 
Benutzerzertiflkat (CertU) anhand einer Revokationsli- 
ste uberpruft wird. 

17. Verfahren nach einem der Anspriiche 1 bis 16, 

- bei dem die erste Nachricht (Ml) mindestens 
eine alte temporare IdentitatsgroBe (TMUIO) der 
ersten Computereinheit (U) aufweist, 

- bei dem in der zweiten Computereinheit (N), 
nachdcm die erste Nachricht (Ml) empfangen 
wurde und bevor die zweite Nachricht (M2) gebil- 
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det wird, fur die erste Coinputereinheit (U) eine 
neue temporare IdentitatsgroBe (TMUIN) gebildet 
wird, 

- bei dem aus der neuen temporaren Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 5 
ein ftinfter verschlusselter Term (VT5) gebildet 
wird, in dem die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschliissel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschlusselt to 
wird, 

- bei dem die zweite Nachricht (M2) mindestens 
den funften verschliisselten Term (VT5) aufweist, 

- bei dem in der ersten Computereinheit (U), 
nachdem die zweite Nachricht (M2) empfangen 15 
wurde und bevor die vierte EingangsgroBe gebil- 
det wird, der funfte verschlusselte Term (VT5) 
entschiusselt wird, 

- bei dem die dritte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 20 
Funktion (h2) zur Bildung der vierten Eingangs- 
groBe mindestens die neue temporare Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 
aufweist, und 

- bei dem die dritte Nachricht (M3) nicht die 25 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) aufweist. 

18. Verfahren nach einem der Anspruche 1 bis 17, 

- bei dem in der zweiten Computereinheit (N) 
cine Information zu dem Sitzungsschliissel (K) 30 
enthaltende Antwort (A) gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) mindestens die Antwort (A) auf- 35 
weist, und 

- hei dem in der ersten Computereinheit (U) der 
Sitzungsschliissel (K) anhand der Antwort (A) 
uberpriift wird. 

19. Verfahren nach einem der Anspruche 1 bis 18, bei 40 
dem die dritte Nachricht (M3) eine IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U) aufweist. 

20. Verfahren nach einem der Anspruche 1 bis 19, 

- bei dem in der zweiten Computereinheit (N) die 
erste EingangsgroBe der ersten Hash-Funktion 45 
(hi) mindestens eine zweite Zufallszahl (r) auf- 
weist, 

- bei dem die zweite Nachricht (M2) die zweite 
Zufallszahl (r) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 50 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf- 
weist. 

21. Verfahren nach einem der Anspruche 1 bis 20, bei 
dem die GroBe bzw. die GroBen wie in Anspruch 3 die 55 
zweite Zufallszahl (r) enthait bzw. enthalten. 

22. Verfahren nach einem der Anspruche 1 bis 21; 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 60 
ein zweiter verschlusselter Term (VT2) gebildet 
wird, in dem mindestens die IdentitatsgroBe 
(IMUI) mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt wird, 65 

- bei dem die dritte Nachricht (M3) den zweiten 
verschliisselten Term (VT2) aufweist, und 

- bei dem in der zweiten Computereinheit (N), 
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nachdem die dritte Nachricht (M3) empfangen 
wurde, der zweite verschlusselte Term (VT2) ent- 
schiusselt wird. 

23. Verfahren nach einem der Anspruche 1 bis 22, 

- bei dem die zweite Nachricht (M2) ein optiona- 
les erstes Datenfeld (datl) aufweist und 

- bei dem die dritte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 
Funktion (h2) zur Bildung der vierten Eingangs- 
groBe mindestens das optionale erste Datenfeld 
(datl) aufweist. 

24. Verfahren nach einem der Anspruche 1 bis 23, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein dritter ver- 
schlusselter Term (VT3) gebildet wird, indem 
mindestens ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt wird, 

- bei dem die dritte Nachricht (M3) mindestens 
den dritten verschliisselten Term (VT3) aufweist, 
und 

- bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschliisseltc Term (VT3) ent- 
schiusselt wird. 

25. Verfahren nach einem der Anspruche 1 bis 24, 

- bei dem in der ersten Coinputereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein erster ver- 
schlusselter Term (VT1) gebildet wird, indem 
mindestens der Signaturterm unter Anwendung 
der Verschlusselungsfunktion (Enc) verschlusselt 
wird, 

- bei dem die dritte Nachricht (M3) den ersten 
verschliisselten Term (VT1) aufweist, und 

- bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschlusselte Term (VT1) ent- 
schiusselt wird. 

26. Verfahren nach einem der Anspruche 1 bis 25, bei 
dem in der zweiten Computereinheit (N) eine Antwort 
(A) gebildet wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, die in der zweiten Compu- 
tereinheit (N) und in der ersten Computereinheit (U) 
bekannt sind, mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt werden. 

27. Verfahren nach einem der Anspruche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort (A) 
uberpriift wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, mit dem Sitzungsschliissel 
(K) unter Anwendung der Verschlusselungsfunktion 
(Enc) verschlusselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 

28. Verfahren nach einem der Anspruche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort (A) 
uberpriift wird, indem die Antwort (A) mit dem Sit- 
zungsschliissel (K) unter Anwendung der Verschlussel- 
ungsfunktion (Enc) entschiusselt wird und eine ent- 
schliisselte Konstante (const') mit einer Konstante 
(const), sowie eventuell weitercn GroBen, verglichen 
wird. 

29. Verfahren nach einem der Anspruche 1 bis 28, 

- bei dem in der zweiten Computereinheit (N) 
eine Antwort (A) gebildet wird, indem eine dritte 
Hash-Funktion (h3) angewendet wird auf eine 
EingangsgroBe, die mindestens den Sitzungs- 
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schlussel (K) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 
Antwort (A) uberpruft wird, indem die dritte 
Hash-Funktion (h3) angewendet wird auf die Ein- 
gangsgroBe, die mindestens den Sitzungsschlussel 5 
(K) aufweist, und das Ergebnis mit der Antwort 
(A) verglichen wird. 

30. Verfahren nach einem der Anspruche 1 bis 29, bei 
dem die dritte Nachricht (M3) mindestens ein optiona- 
les zweites Datenfeld (dat2) aufweist. 10 

31. Verfahren nach einem der Anspruche 1 bis 30, bei 
dem die erste Computereinheit (U) durch ein mobiles 
Kommunikationsendgerat und/oder die zweite Compu- 
tereinheit (N) durch eine Authentifizierungseinheit in 
einem Mobil-Kommunikationsnetz gebildet wird/wer- 15 
den. 

32. Anordnung zum rechnergestutzten Austausch 
kryptographischer Schlussel zwischen einer ersten 
Computereinheit (U) und einer zweiten Computerein- 
heit (N), bei der die erste Computereinheit (U) und die 20 
zweite Computereinheit (N) derart eingerichtet sind, 
daB folgende Verfahrensschritte durchfiihrbar sind: 

- aus einer ersten Zufallszahl (t) wird mit Hilfe 
eines erzeugenden Elements (g) einer endlichen 
Gruppe in der ersten Computereinheit (U) ein er- 25 
sterWertCg 1 ) gebildet, 

- eine erste Nachricht (Ml) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die ersten Nachricht 
(Ml) mindestens den ersten Wert (g') aufweist, 30 

- in der zweiten Computereinheit (N) wird ein 
Sitzungsschlussel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweist, der gebildet 35 
wird durch eine Exponentiation des ersten Werts 
(g l ) mit einem geheimen Netzschliissel (s), 

- in der ersten Computereinheit (U) wird der Sit- 
zungsschlussel (K) gebildet mit Hilfe der ersten 
Hash-Funktion (hi), wobei eine zweite Eingangs- 40 
groBe der ersten Hash-Funktion (hi) mindestens 
einen zweiten Term aufweist, der gebildet wird 
durch eine Exponentiation eines offentlichen 
Netzschlussels (g s ) mit der ersten Zufallszahl (t), 

- in der ersten Computereinheit (U) wird mit 45 
Hilfe einer zweiten Hash-Funktion (h2) oder der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fur die erste Hash-Funktion (hi) oder fur 
die zweite Hash-Funktion (h2) zur Bildung der 50 
vierten EingangsgroBe eine oder weitere GroBen 
aufweist, aus denen auf den Sitzungsschlussel ein- 
deutig ruckgeschlossen werden kann. 

- in der ersten Computereinheit (U) wird ein Si- 
gnaturterm aus mindestens der vierten Eingangs- 55 
groBe gebildet unter Anwendung einer ersten Si- 
gnaturfunktion (SiguX 

- eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die dritte Nachricht 60 
(M3) mindestens den Signaturterm der ersten 
Computereinheit (U) aufweist, und 

- in der zweiten Computereinheit (N) wird der 
Signaturterm verifiziert. 

33. Anordnung nach Anspruch 31, bei dem der ge- 65 
heime Netzschliissel und/oder der dffentliche Netz- 
schliissel langlebige Schlussel ist/sind. 

34. Anordnung nach Anspruch 32 oder 33, bei der die 
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erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB die dritte Ein- 
gangsgroBe mehrere GroBen aufweist, aus denen auf 
den Sitzungsschlussel eindeutig ruckgeschlossen wer- 
den kann. 

35. Anordnung nach einem der Anspruche 32 bis 34, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroBe bzw. die GroBen mindestens zumindest den er- 
sten Wert (g l ) und/oder den offentlichen Netzschliissel 
(g s ) enthalt bzw. enthalten. 

36. Anordnung nach einem der Anspruche 32 bis 35, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
angabe (idcA) einer Zertifizierungscomputerein- 
heit (CA), die ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren letztes das Netzzerti- 
fikat (CertN) ist, iiefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann, 
auf, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens das Netzzertifikat (CertN) 
oder die Kette von Zertifikaten, deren letztes das 
Netzzertifikat (CertN) ist, aufweist, und 

- in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, deren letztes das Netzzertifikat (CertN) ist, 
verifiziert wird. 

37. Anordnung nach Anspruch 36, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfiihrbar sind: 

- eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die dritte Nachricht 
(M3) ein Benutzerzcrtifikat (CertU) oder eine 
Kette von Zertifikaten, deren letztes das Benutzer- 
zertifikat (CertU) ist, aufweist, 

- in der zweiten Computereinheit (N) wird das 
Benutzerzertifikat (CertU) oder die Kette von Zer- 
tifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert. 

38. Anordnung nach einem der Anspruche 32 bis 37, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
groBe (IMUI) der ersten Computereinheit (U) und 
eine Identitatsangabe (idcA) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) Iiefert, das 
von der ersten Computereinheit (U) verifiziert 
werden kann, auf, 

- eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens den ersten Wert 
(g r ) als EingangsgroBe aufweist, 

- eine fiinfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN) oder eine Zertifikatskette, 
deren letztes Glied das Netzzertifikat (CertN) ist, 
oder das Benutzerzertifikat (CertU) oder eine Zer- 
tifikatskette, deren letztes Glied das Benutzerzer- 
tifikat (CertU) ist, aufweist, wird von der Zertifi- 
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zierungscomputereinheit (CA) zu der zweiten 
Computereinheit (N) ubertragen, 

39. Anordnung nach einem der Anspriiche 32 bis 38, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 5 
gende Verfahrensschritte durchfuhrbar sind: 

- eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens den offentli- 10 
chen Netzschliissel (g s ), den ersten Wert (g l ), die 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) als EingangsgroBe aufweist und wobei 
eine AusgangsgroBe einer dritten Hash-Fun ktion 
(h3) unter Verwendung einer zweiten Signatur- 15 
funktion (Sig N ) signiert wird, 

~ in der Zertifizierungscomputereinheit (CA) 
wird der erste signierte Term verifiziert, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens den 20 
ersten Wert (g l ), den offentlichen Netzschliissel 
(g s ) und eine Identitatsangabe (id N ) der zweiten 
Computereinheit (N) aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 25 
tion (h4) ein Hash- Wert iiber den dritten Term ge- 
bildet, 

- in der Zertifizierungscomputereinheit (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 30 
(SigcA) signiert, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein Netzzertifikat (CertN) gebildet, das min- 
destens den dritten Term und den signierten Hash- 
Wert des dritten Terms aufweist, 35 

- in der Zertifizierungscomputereinheit (CA) 
wird auf einen funften Term, der mindestens die 
Identitatsangabe (idu) der zweiten Computerein- 
heit (N) und ein Benutzerzertifikat (CertU) auf- 
weist, cine vierte Hash-Funktion (h4) angewen- 40 
det, 

- der Hash-Wert des funften Terms wird durch 
Verwendung der dritten Signaturfunktion (SigcA) 
mit dem geheimen Zertifizierungsschlussel (cs) 
signiert und das Ergebnis stellt den zweiten si- 45 
gnierten Term dar, 

- eine fiinfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN), den funften Term und den 
zweiten signierten Term aufweist, wird von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 50 
ten Computereinheit (N) ubertragen, 

- in der zweiten Computereinheit (N) werden das 
Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert, 

- in der zweiten Computereinheit (N) wird ein 55 
vierter Term, der mindestens den offentlichen 
Netzschliissel (g s ) und den signierten Hash-Wert 
des dritten Terms aufweist, gebildet, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 60 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens den vierten Term aufweist, 
und 

- in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) verifiziert. 65 

40. Anordnung nach einem der Anspriiche 33 bis 39, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
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gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
groBe (IMUI) der ersten Computereinheit (U) und 
eine Identitatsangabe (idcA) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren letztes das Netzzerti- 
fikat (CertN) ist, liefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann 
oder konnen, auf, 

- eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens ein Zertifikat 
auf den offentlichen Netzschliissel (g s ), den ersten 
Wert (g l )und die IdentitatsgroBe (IMUI) der ersten 
Computereinheit (U) aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens ei- 
nen offentlichen Netzschliissel (g s ) oder eine 
GroBe, die den offentlichen Netzschliissel (g s ) 
eindeutig bestimmt, aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash-Wert iiber den dritten Term ge- 
bildet, 

- in der Zertifizierungscomputereinheit (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(Sig cA ) signiert, 

- eine fiinfte Nachricht (M5), die mindestens den 
signierten Hash-Wert uber den dritten Term auf- 
weist, wird von der Zertifizierungscomputerein- 
heit (CA) zu der zweiten Computereinheit (N) 
ubertragen, 

- in der zweiten Computereinheit (N) wird der si- 
gnierte Hash-Wert iiber den dritten Term verifi- 
ziert, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens den den signierten Hash- 
Wert iiber den dritten Term aufweist, und 

- in der ersten Computereinheit (U) wird der si- 
gnierte Hash-Wert iiber den dritten Term verifi- 
ziert. 

41. Anordnung nach Anspruch 40, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfuhrbar sind: der dritte Term weist den of- 
fentlichen Benutzersignaturschlussel (KU) oder eine 
GroBe, die den Benutzersignaturschlussel (KU) ein- 
deutig bestimmt, auf. 

42. Anordnung nach Anspruch 40 oder 41, bei der die 
erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB folgende Ver- 
fahrensschritte durchfuhrbar sind: die fiinfte Nachricht 
(M5) sowie die zweite Nachricht (M2) weist minde- 
stens eine Kette von Zertifikaten auf. 

43. Anordnung nach einem der Anspriiche 38 bis 42, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: der fiinfte 
Term weist einen Zeitstempel (TS) auf. 

44. Anordnung nach einem der Anspriiche 38 bis 43, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: der dritte 
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Term weist einen Zeitstempel (TS) auf. 

45. Anordnung nach einem der Anspruche 38 bis 44, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 5 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der ersten Nachricht (Ml) ein Zwischen- 
schliissel (L) gebildet wird, indem ein offentlicher 
Schlusselvereinbarungsschliissel (g u ) mit der er- 
sten Zufallszahl (t) potenziert, io 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der ersten Nachricht (Ml) aus der Identitats- 
groBe (IMUI) der ersten Computereinheit (U) ein 
zweiter verschlusseiter Term (VT2) gebildet wird, 
indem die IdentitatsgroBe (IMUI) mit dem Zwi- 15 
schenschliissel (L) unter Anwendung einer Ver- 
schliisselungsfunktion (Enc) verschliisselt, 

- die erste Nachricht (Ml) weist anstatt der Iden- 
titatsgroBe (IMUI) der ersten Computereinheit 
(U) den zweiten verse hlusselten Term (VT2) auf, 20 

- bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) den zweiten verschliisselten Term (VT2) 
aufweist. 

46. Anordnung nach einem der Anspruche 38 bis 45, 25 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der funften Nachricht (M5) ist das Netzzerti- 
fikat (CertN) oder eine Zertifikatskette, deren letz- 30 
tes Glied das Netzzertiflkat (CertN) ist, oder das 
Benutzerzertifikat (CertU) oder eine Zertifikats- 
kette, deren letztes Glied das Benutzerzertifikat 
(CertU) ist, mit L verschliisselt. 

47. Anordnung nach einem der Anspruche 38 bis 46, 35 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: in derZer- 
tifizierungscomputereinheit (CA) wird mindestens eine 
der GroBen, die Identities angabe (id N ) der zweiten 40 
Computereinheit (N), die IdentitatsgroBe (IMUI) der 
ersten Computereinheit (U), der offentliche Netz- 
schlussel (g 5 ), das Netzzertiflkat (CertN) oder das Be- 
nutzerzertifikat (CertU) anhand einer Revokationsliste 
iiberpruft. 45 

48. Anordnung nach einem der Anspruche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist mindestens eine 50 
alte temporare IdentitatsgroBe (TMUIO) der er- 
sten Computereinheit (U) auf, 

- in der zweiten Computereinheit (N) wird, nach- 
dem die erste Nachricht (Ml) empfangen wurde 
und bevor die zweite Nachricht (M2) gebildet 55 
wird, fiir die erste Computereinheit (U) eine neue 
temporare IdentitatsgroBe (TMUIN) gebildet, 

- aus der neuen temporaren IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) wird 
ein funfte verschlusseiter Term (VT5) gebildet, 60 
indem die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschlussel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschliisselt 
wird, 65 

- die zweite Nachricht (M2) weist mindestens 
den funften verschliisselten Term (VT5) auf, 

- in der ersten Computereinheit (U) wird, nach- 
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dem die zweite Nachricht (M2) empfangen wurde 
und bevor die vierte EingangsgroBe gebildet wird, 
der funfte verschliisselte Term (VT5) entschliis- 
selt, 

- die dritte EingangsgroBe fur die erste Hash- 
Funktion (hi) oder fiir die zweite Hash-Funktion 
(h2) zur Bildung der vierten EingangsgroBe weist 
mindestens die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) auf, 
und 

- die dritte Nachricht (M3) weist nicht die Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
auf. 

49. Anordnung nach einem der Anspruche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) wird eine 
Information zu dem Sitzungsschlussel (K) enthal- 
tende Antwort (A) gebildet, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens die Antwort (A) aufweist, 
und 

- in der ersten Computereinheit (U) wird der Sit- 
zungsschlussel (K) anhand der Antwort (A) iiber- 
pruft. 

50. Anordnung nach einem der Anspruche 32 bis 49, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: die dritte 
Nachricht (M3) weist eine IdentitatsgroBe (IMUI) der 
ersten Computereinheit (U) auf. 

51. Anordnung nach einem der Anspruche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) weist die 
erste EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens eine zweite Zufallszahl (r) auf, 

- die zweite Nachricht (M2) weist die zweite Zu- 
fallszahl (r) auf, und 

- in der ersten Computereinheit (U) weist die 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf. 

52. Anordnung nach einem der Anspruche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroBe bzw. die GroBen nach Anspruch 34 die zweite 
Zufallszahl (r) enthalt bzw. enthalten. 

53. Anordnung nach einem der Anspruche 32 bis 51, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter verschlusseiter Term (VT2) gebildet, 
indem mindestens die IdentitatsgroBe (IMUI) mit 
dem Sitzungsschlussel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschliisselt 
wird, 

- die dritte Nachricht (M3) weist den zweiten 
verschliisselten Term (VT2) auf, und 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde, 
der zweite verschliisselte Term (VT2) entschlus- 
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sell. 

54. Anordnung nach einem der Anspriiche 32 bis 53, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 5 

- die zweite Nachrichl (M2) weist ein oplionales 
erstes Datenfeld (datl) auf, und 

- die dritte EingangsgroBe fiir die erste Hash- 
Funktion (hi) oder fur die zweite Hash-Funktion 
(h2) zur Bildung der vierten EingangsgroBe weist 10 
mindestens das optionale erste Datenfeld (datl) 
auf. 

55. Anordnung nach einern der Anspruche 32 bis 54, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 15 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) ein dritter ver- 
schliisselter Term (VT3) gebildet, indem minde- 
stens ein optionales zweites Datenfeld (dat2) mit 20 
dem Sitzungsschliissel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschliisselt 
wird, 

- die dritte Nachricht (M3) weist mindestens den 
dritten verschliisscltcn Term (VT3) auf, und 25 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde, 
der dritte verschliisselte Term (VT3) entschliis- 
selt. 

56. Anordnung nach einem der Anspruche 32 bis 55, 30 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) ein erster ver- 35 
schliisseiter Term (VT1) gebildet, indem minde- 
stens der Signaturterm unter Anwendung der Ver- 
schlusselungsfunktion (Enc) verschliisselt wird, 

- die dritte Nachricht (M3) weist den ersten ver- 
schliisselten Term (VT1) auf, und 40 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde 
und bevor der Signaturterm verifiziert wird, der 
erste verschliisselte Term (VT1) entschliisselt. 

57. Anordnung nach einem der Anspruche 32 bis 56, 45 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: in der 
zweiten Computereinheit (N) wird eine Antwort (A) 
gebildet, indem eine Konstante (const), sowie eventuell 50 
weitere GroBen, die in der zweiten Computereinheit 
(N) und in der ersten Computereinheit (U) bekannt 
sind, mit dem Sitzungsschliissel (K) unter Anwendung 
der Verschlusselungsfunktion (Enc) verschliisselt wird. 

58. Anordnung nach einem der Anspruche 44 bis 57, 55 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: in der er- 
sten Computereinheit (U) wird die Antwort (A) iiber- 
priift, indem eine Konstante (const) sowie eventuell 60 
weitere GroBen, mit dem Sitzungsschliissel (K) unter 
Anwendung der Verschlusselungsfunktion (Enc) ver- 
schliisselt wird und das Ergebnis mit der Antwort (A) 
verglichen wird. 

59. Anordnung nach einem der Anspruche 44 bis 57, 65 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: in der er- 
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sten Computereinheit (U) wird die Antwort (A) uber- 
priift, indem die Antwort (A) mit dem Sitzungsschliis- 
sel (K) unter Anwendung der Verschlusselungsfunk- 
tion (Enc) entschliisselt wird und eine entschlusselte 
Konstante (const') sowie eventuell weitere GroBen, mit 
einer Konstante (const) verglichen wird. 

60. Anordnung nach einem der Anspruche 32 bis 59, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) wird eine 
Antwort (A) gebildet, indem eine dritte Hash- 
Funkuon (h3) angewendet wird auf eine Ein- 
gangsgroBe, die mindestens den Sitzungsschliissel 
(K) aufweist, und 

- in der ersten Computereinheit (U) wird die Ant- 
wort (A) uberpriift, indem die dritte Hash-Funk- 
tion (h3) angewendet wird auf eine Eingangs- 
groBe, die mindestens den Sitzungsschliissel (K) 
aufweist, und das Ergebnis mit der Antwort (A) 
verglichen wird. 

61. Anordnung nach einem der Anspruche 32 bis 60, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: die dritte 
Nachricht (M3) weist mindestens ein optionales zwei- 
tes Datenfeld (dat2) auf. 

62. Anordnung nach einem der Anspriiche 32 bis 61, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: die erste 
Computereinheit (U) durch ein mobiles Kommunikati- 
onsendgerat und/oder die zweite Computereinheit (N) 
wird/werden durch eine Authentifizierungseinheit in 
einem Mobil- Kommunikationsnetz gebildet. 
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